プレゼンテーション：Pythonと機械学習によるWebセキュリティの自動化 | PyCon JP 2017 in TOKYO

金曜日 4:15 p.m.–4:45 p.m.

Room 203 #pyconjp_203

Pythonと機械学習によるWebセキュリティの自動化

Isao Takaesu

対象レベル：: 初級
カテゴリ：: Testing
スライド:: https://www.slideshare.net/babaroa/pythonweb-79571974
ビデオ:: https://youtu.be/BvtgbUy0BxA

説明

Webアプリの脆弱性を見つけ出すWebアプリ診断。この業務は、セキュリティエンジニアのスキルと経験に大きく依存するため、長年、人手不足が叫ばれています。また、その業務の特殊さ故に、自動化は難しいとも言われてきました。本セッションでは、このWebアプリ診断業務を「Python+機械学習」を駆使して自動化を試みた際のテクニックやノウハウなどをお話いたします。

概要

日本ではWebアプリケーションの脆弱性を見つけ出す業務（Webアプリ診断）に係る人材が不足しています。私は人材不足を解消する一つの方法として、「Python」と「機械学習」に着目し、Webアプリ診断の「自動化」を進めています。

本セッションでは、Webアプリ診断にとって重要となる、以下の二つのタスクを自動化するテクニックと注意点をデモンストレーションを交えながらお話します。

Webアプリのクローリング Webアプリに潜む脆弱性を網羅的に見つけるために、何十～何千のページを人間がクローリングする必要があります。クローリングでは、入力フォームに適切な値を入力したり、ログインが必要なWebアプリの場合はログインアカウントを作成した後にログインするなどの複雑な操作が必要です。 https://www.youtube.com/watch?v=aXw3vgXbl1U
脆弱性の検出 クローリングができたら次は脆弱性を見つける必要があります。ここでは、従来の脆弱性スキャナのように多くの検査シグネチャを投げまくるのではなく、Webアプリの挙動を観察した上で、より効率よく（熟練したセキュリティエンジニアのように）脆弱性を見つけ出します。 https://www.youtube.com/watch?v=N5d9oM0NcM0

Tweet

SPONSORS

Diamond

Platinum

Gold

Silver

Media

CONTACT