日本ではWebアプリケーションの脆弱性を見つけ出す業務（Webアプリ診断）に係る人材が不足しています。私は人材不足を解消する一つの方法として、「**Python**」と「**機械学習**」に着目し、Webアプリ診断の「**自動化**」を進めています。 本セッションでは、Webアプリ診断にとって重要となる、以下の二つのタスクを自動化するテクニックと注意点をデモンストレーションを交えながらお話します。 1. **Webアプリのクローリング** Webアプリに潜む脆弱性を網羅的に見つけるために、何十～何千のページを人間がクローリングする必要があります。クローリングでは、入力フォームに適切な値を入力したり、ログインが必要なWebアプリの場合はログインアカウントを作成した後にログインするなどの複雑な操作が必要です。 [https://www.youtube.com/watch?v=aXw3vgXbl1U][1] 1. **脆弱性の検出** クローリングができたら次は脆弱性を見つける必要があります。ここでは、従来の脆弱性スキャナのように多くの検査シグネチャを投げまくるのではなく、Webアプリの挙動を観察した上で、より効率よく（熟練したセキュリティエンジニアのように）脆弱性を見つけ出します。 [https://www.youtube.com/watch?v=N5d9oM0NcM0][2] [1]: https://www.youtube.com/watch?v=aXw3vgXbl1U [2]: https://www.youtube.com/watch?v=N5d9oM0NcM0