Submit Search
Upload
Aiにwebアプリ診断をやらせてみる
•
2 likes
•
989 views
Isao Takaesu
Follow
2015/11/24 ssmjpで「AIにWebアプリ診断をやらせてみる」と題してLTした際のスライド。
Read less
Read more
Software
Report
Share
Report
Share
1 of 8
Download now
Download to read offline
Recommended
Black Hat ASIA 2016 Arsenalで展示した診断AI「SAIVS」の概要。 https://www.blackhat.com/asia-16/arsenal.html#saivs-spider-artificial-intelligence-vulnerability-scanner
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
Isao Takaesu
workshop : AISECjp presenter : Isao Takaesu. date : 2016/07/25
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
Isao Takaesu
遺伝的アルゴリズムを使って脆弱性を検出するための「検査値」を自動生成するお話し。
脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -
Isao Takaesu
A tool that recommends the inspection character string of the Web application to the security engineer.
RECOMMENDER for Web security engineers - 初級編 -
RECOMMENDER for Web security engineers - 初級編 -
Isao Takaesu
機械学習関連情報の収集方法
機械学習関連情報の収集方法
機械学習関連情報の収集方法
Isao Takaesu
Machine Learning 15minutes! #6
機械学習を使ったハッキング手法
機械学習を使ったハッキング手法
Isao Takaesu
安全なWebアプリ構築1回。XSSについて実習を行いました。Morning Project Samurai 第2回(2014/6/7)定例ミーティングの資料です。
安全なWebアプリ構築1回
安全なWebアプリ構築1回
Project Samurai
OWASP Meeting - 7th Local Chapter Meeting 「OWASP ZAPをぶん回せ!〜 活用マニュアル作ってみました」 で使用したPPTです(ちょっと改変あり) 実際には、プレゼン機でZAPを動かすデモがメインでしたので、 PPTを見ても参考にならないかもしれません。
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
Recommended
Black Hat ASIA 2016 Arsenalで展示した診断AI「SAIVS」の概要。 https://www.blackhat.com/asia-16/arsenal.html#saivs-spider-artificial-intelligence-vulnerability-scanner
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
Isao Takaesu
workshop : AISECjp presenter : Isao Takaesu. date : 2016/07/25
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
Isao Takaesu
遺伝的アルゴリズムを使って脆弱性を検出するための「検査値」を自動生成するお話し。
脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -
Isao Takaesu
A tool that recommends the inspection character string of the Web application to the security engineer.
RECOMMENDER for Web security engineers - 初級編 -
RECOMMENDER for Web security engineers - 初級編 -
Isao Takaesu
機械学習関連情報の収集方法
機械学習関連情報の収集方法
機械学習関連情報の収集方法
Isao Takaesu
Machine Learning 15minutes! #6
機械学習を使ったハッキング手法
機械学習を使ったハッキング手法
Isao Takaesu
安全なWebアプリ構築1回。XSSについて実習を行いました。Morning Project Samurai 第2回(2014/6/7)定例ミーティングの資料です。
安全なWebアプリ構築1回
安全なWebアプリ構築1回
Project Samurai
OWASP Meeting - 7th Local Chapter Meeting 「OWASP ZAPをぶん回せ!〜 活用マニュアル作ってみました」 で使用したPPTです(ちょっと改変あり) 実際には、プレゼン機でZAPを動かすデモがメインでしたので、 PPTを見ても参考にならないかもしれません。
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
2015/1/15 OWASP Night 15thで登壇した時の資料です。 パネルの途中で本田さんがご説明された「Fiddlerアドオンによる魔改造」のスライドは以下にて公開されております! http://www.slideshare.net/hagurese/proxywariifiddleraddon
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
zaki4649
Owasp japan6th
Owasp japan6th
Masakazu Ikeda
ノイズから価値あるデータを生成する技術。
サイバーセキュリティ錬金術
サイバーセキュリティ錬金術
Isao Takaesu
5 minutes introduction to Cybozu SRE team.
5分で分かるサイボウズのSRE
5分で分かるサイボウズのSRE
uchan_nos
セキュリティキャンプ2015
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Kyo Ago
A tool that recommends the injection codes of the Web application to the security engineer.
RECOMMENDER for Web security engineers - 中級編 -
RECOMMENDER for Web security engineers - 中級編 -
Isao Takaesu
セキュリティ・キャンプ2015 クラウドセキュリティ基礎
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
なぜ自社でWebアプリケーション脆弱性診断を行うべきなのか。自動と手動の脆弱性診断のやり方、自社でやる意義、予算のかけ方などを紹介しています。 参考文献はこちら:Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 http://www.shoeisha.co.jp/book/detail/9784798145624 2017年2月6日
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Owasp top10 HandsOn
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
コンピュータセキュリティシンポジウム 2013で、株式会社セキュアブレイン西田が発表した資料です。「実行コード上の機能間距離に基づくAndroidアプリの個人情報送信機能の推定」
Css2013 api distance
Css2013 api distance
Info_SecureBrain
yidev #16で発表した資料です.
Getting started with Handoff
Getting started with Handoff
Yuichi Yoshida
2015/07/31の #ssmjp で発表した資料です.
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
JavaScriptによるクリックジャッキング対策の迂回方法の検証結果。クリックジャッキング対策はX-Frame-Optionsヘッダを使いましょー。
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
動画へのAI技術適用の可能性です。メタデータ作成、映像から映像の作成におけるMicrosoftの最新AI技術にフォーカスします。エンドユーザー・開発者フォーカスのため、モデル作成については触れていません。
AI for media
AI for media
Daiyu Hatakeyama
20140716 Movable Type seminar
20140716 Movable Type seminar
Six Apart
開発者のための、メディアコンテンツのAI 活用の例です。
AI for Media - for Developer
AI for Media - for Developer
Daiyu Hatakeyama
LT資料です
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Kiyotaka Kunihira
簡単なRubyでのDSL実装のお話
RubyでDSL
RubyでDSL
Yukimitsu Izawa
チーム名 なんでもいい(麻生情報ビジネス専門学校) 最終審査会順位3位
MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
Tomoya Takezaki
第1回WBAレクチャー: 「認知機能の脳構造に沿った分解手法ー脳機能の体系的理解を目指してー」 日時:2月7日(日) (15:00~17:00) https://wba-initiative.org/18094/ ーーーーー タイトル:BRAの審査と登録 講演者: 山川宏(全脳アーキテクチャ・イニシアティブ) 概要: •BRAについて「脳の真実への近さ」を見積もる適切度が必要 –BRAは、脳型ソフトウエアの開発や評価に利用される起点である •適切度評価の審査基準は、BIFの認定性、HCDのBIFへの整合性、HCDの機能性からなる •専門性の必要ない形式審査と、専門性を要する本審査に分離 •BRAデータベースの構築にむけて、基礎検討を行った –BRAの設計と活用の面からユースケースを作成 一定の労力を要するBRA構築を動機づけるために、専門性を要する本審査のみを学術雑誌の査読に依存する連携体制を検討
WBAレクチャー#1BRAの審査と登録(山川宏)
WBAレクチャー#1BRAの審査と登録(山川宏)
The Whole Brain Architecture Initiative
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
drewz lin
bWAPP, or a buggy web application, is a free and open source deliberately insecure web application.It helps security enthusiasts, developers and students to discover and to prevent web vulnerabilities.bWAPP prepares one to conduct successful penetration testing and ethical hacking projects.
B wapp – bee bug – installation
B wapp – bee bug – installation
Ronan Dunne, CEH, SSCP
More Related Content
What's hot
2015/1/15 OWASP Night 15thで登壇した時の資料です。 パネルの途中で本田さんがご説明された「Fiddlerアドオンによる魔改造」のスライドは以下にて公開されております! http://www.slideshare.net/hagurese/proxywariifiddleraddon
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
zaki4649
Owasp japan6th
Owasp japan6th
Masakazu Ikeda
ノイズから価値あるデータを生成する技術。
サイバーセキュリティ錬金術
サイバーセキュリティ錬金術
Isao Takaesu
5 minutes introduction to Cybozu SRE team.
5分で分かるサイボウズのSRE
5分で分かるサイボウズのSRE
uchan_nos
セキュリティキャンプ2015
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Kyo Ago
A tool that recommends the injection codes of the Web application to the security engineer.
RECOMMENDER for Web security engineers - 中級編 -
RECOMMENDER for Web security engineers - 中級編 -
Isao Takaesu
セキュリティ・キャンプ2015 クラウドセキュリティ基礎
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
なぜ自社でWebアプリケーション脆弱性診断を行うべきなのか。自動と手動の脆弱性診断のやり方、自社でやる意義、予算のかけ方などを紹介しています。 参考文献はこちら:Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 http://www.shoeisha.co.jp/book/detail/9784798145624 2017年2月6日
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Owasp top10 HandsOn
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
コンピュータセキュリティシンポジウム 2013で、株式会社セキュアブレイン西田が発表した資料です。「実行コード上の機能間距離に基づくAndroidアプリの個人情報送信機能の推定」
Css2013 api distance
Css2013 api distance
Info_SecureBrain
yidev #16で発表した資料です.
Getting started with Handoff
Getting started with Handoff
Yuichi Yoshida
2015/07/31の #ssmjp で発表した資料です.
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
JavaScriptによるクリックジャッキング対策の迂回方法の検証結果。クリックジャッキング対策はX-Frame-Optionsヘッダを使いましょー。
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
動画へのAI技術適用の可能性です。メタデータ作成、映像から映像の作成におけるMicrosoftの最新AI技術にフォーカスします。エンドユーザー・開発者フォーカスのため、モデル作成については触れていません。
AI for media
AI for media
Daiyu Hatakeyama
20140716 Movable Type seminar
20140716 Movable Type seminar
Six Apart
開発者のための、メディアコンテンツのAI 活用の例です。
AI for Media - for Developer
AI for Media - for Developer
Daiyu Hatakeyama
LT資料です
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Kiyotaka Kunihira
簡単なRubyでのDSL実装のお話
RubyでDSL
RubyでDSL
Yukimitsu Izawa
チーム名 なんでもいい(麻生情報ビジネス専門学校) 最終審査会順位3位
MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
Tomoya Takezaki
第1回WBAレクチャー: 「認知機能の脳構造に沿った分解手法ー脳機能の体系的理解を目指してー」 日時:2月7日(日) (15:00~17:00) https://wba-initiative.org/18094/ ーーーーー タイトル:BRAの審査と登録 講演者: 山川宏(全脳アーキテクチャ・イニシアティブ) 概要: •BRAについて「脳の真実への近さ」を見積もる適切度が必要 –BRAは、脳型ソフトウエアの開発や評価に利用される起点である •適切度評価の審査基準は、BIFの認定性、HCDのBIFへの整合性、HCDの機能性からなる •専門性の必要ない形式審査と、専門性を要する本審査に分離 •BRAデータベースの構築にむけて、基礎検討を行った –BRAの設計と活用の面からユースケースを作成 一定の労力を要するBRA構築を動機づけるために、専門性を要する本審査のみを学術雑誌の査読に依存する連携体制を検討
WBAレクチャー#1BRAの審査と登録(山川宏)
WBAレクチャー#1BRAの審査と登録(山川宏)
The Whole Brain Architecture Initiative
What's hot
(20)
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
Owasp japan6th
Owasp japan6th
サイバーセキュリティ錬金術
サイバーセキュリティ錬金術
5分で分かるサイボウズのSRE
5分で分かるサイボウズのSRE
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
RECOMMENDER for Web security engineers - 中級編 -
RECOMMENDER for Web security engineers - 中級編 -
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Owasp top10 HandsOn
Owasp top10 HandsOn
Css2013 api distance
Css2013 api distance
Getting started with Handoff
Getting started with Handoff
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
AI for media
AI for media
20140716 Movable Type seminar
20140716 Movable Type seminar
AI for Media - for Developer
AI for Media - for Developer
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
RubyでDSL
RubyでDSL
MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
WBAレクチャー#1BRAの審査と登録(山川宏)
WBAレクチャー#1BRAの審査と登録(山川宏)
Viewers also liked
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
drewz lin
bWAPP, or a buggy web application, is a free and open source deliberately insecure web application.It helps security enthusiasts, developers and students to discover and to prevent web vulnerabilities.bWAPP prepares one to conduct successful penetration testing and ethical hacking projects.
B wapp – bee bug – installation
B wapp – bee bug – installation
Ronan Dunne, CEH, SSCP
2016.11.04 AISECjp presented by Isao Takaesu
ITエンジニアのための機械学習理論入門 第5章
ITエンジニアのための機械学習理論入門 第5章
Isao Takaesu
機械学習モデルをブラックボックスアクセスを通して複製する"Model extraction attacks"の紹介(part.1)
introduce "Stealing Machine Learning Models via Prediction APIs"
introduce "Stealing Machine Learning Models via Prediction APIs"
Isao Takaesu
2016.10.20 CODE BLUE 2016 Track1 Method of Detecting Vulnerability in Web Apps
CODE BLUE 2016 - Method of Detecting Vulnerability in Web Apps
CODE BLUE 2016 - Method of Detecting Vulnerability in Web Apps
Isao Takaesu
2016年10月20日 CODE BLUE 2016 Track1 機械学習でWebアプリケーションの脆弱性を見つける方法
CODE BLUE 2016 - 機械学習でWebアプリケーションの脆弱性を見つける方法
CODE BLUE 2016 - 機械学習でWebアプリケーションの脆弱性を見つける方法
Isao Takaesu
AIの脆弱性について
Discussion AIの脆弱性について
Discussion AIの脆弱性について
Isao Takaesu
C#ユーザー会 #30
C#の強み、或いは何故PHPから乗り換えるのか
C#の強み、或いは何故PHPから乗り換えるのか
Yoshifumi Kawai
Crecimiento y Desarrollo Craneofacial en Ortodoncia y Ortopedia
Crecimiento y Desarrollo Craneofacial en Ortodoncia y Ortopedia
celso
Viewers also liked
(9)
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
B wapp – bee bug – installation
B wapp – bee bug – installation
ITエンジニアのための機械学習理論入門 第5章
ITエンジニアのための機械学習理論入門 第5章
introduce "Stealing Machine Learning Models via Prediction APIs"
introduce "Stealing Machine Learning Models via Prediction APIs"
CODE BLUE 2016 - Method of Detecting Vulnerability in Web Apps
CODE BLUE 2016 - Method of Detecting Vulnerability in Web Apps
CODE BLUE 2016 - 機械学習でWebアプリケーションの脆弱性を見つける方法
CODE BLUE 2016 - 機械学習でWebアプリケーションの脆弱性を見つける方法
Discussion AIの脆弱性について
Discussion AIの脆弱性について
C#の強み、或いは何故PHPから乗り換えるのか
C#の強み、或いは何故PHPから乗り換えるのか
Crecimiento y Desarrollo Craneofacial en Ortodoncia y Ortopedia
Crecimiento y Desarrollo Craneofacial en Ortodoncia y Ortopedia
Similar to Aiにwebアプリ診断をやらせてみる
2019年1月29日「LEVEL Apps vol.2 ~先行企業に学ぶゲームアプリのグロースハック!~」にて登壇した際の資料です。
アプリの「無事故リリース」を目指して~品質管理部によるSmartBeat活用事例~
アプリの「無事故リリース」を目指して~品質管理部によるSmartBeat活用事例~
CYBIRD Co.,Ltd.
2016年4月19日にシナップ社内で開催されたアクセシビリティ勉強会で使用したスライドです。
アクセシビリティとこれからのWebデザイン
アクセシビリティとこれからのWebデザイン
力也 伊原
Colla(コラ)というSlackアプリ開発を通して得た、プロダクトとしてのSlackアプリ開発の知見を共有します
コロナ時代を生き抜く(?) Slackアプリ開発・運用知見まとめ
コロナ時代を生き抜く(?) Slackアプリ開発・運用知見まとめ
Masayuki Uehara
2011年1月14日、マイクロソフト社内で非公式に行われたソーシャルウェブ勉強会の抜粋資料です。昨年のソーシャルWEBのトレンドを振り返り、今後のソーシャル経済圏でのビジネスモデル構築検討をディスカッションしています。情報ソースは各ページの出典元リンクをご参照ください。
Discussion for Social WEB Bisiness
Discussion for Social WEB Bisiness
Daisuke Masubuchi
Pythonで検索エンジン2
Pythonで検索エンジン2
Yasukazu Kawasaki
「ネットワーク分散型フレームワーク ConView」 2009年10月24日に行われた、楽天テクノロジーカンファレンス2009での発表資料です。 http://tech.rakuten.co.jp/rtc2009/
ネットワーク分散型フレームワークConView
ネットワーク分散型フレームワークConView
Rakuten Group, Inc.
工大祭 12/10/6-7 の研究室公開で利用したスライド。 研究ではなくお遊びです。
機械学習でお小遣いを稼ぐ! - 本推薦 Twitter bot の紹介 -
機械学習でお小遣いを稼ぐ! - 本推薦 Twitter bot の紹介 -
Masakazu Ishihata
WebUX研究会での発表資料。サイト内検索の分析手法について紹介。
サイトサーチアナリティクスとは
サイトサーチアナリティクスとは
Makoto Shimizu
Introduction of my works
Introduction of my works
Yasunori Ozaki
YAPC::Asia 2012
「新しい」を生み出すためのWebアプリ開発とその周辺
「新しい」を生み出すためのWebアプリ開発とその周辺
Yusuke Wada
エッジ・組み込み AI 勉強会 #2 (2019年2月27日開催) セッション資料
Custom Visionを活用するためのTips
Custom Visionを活用するためのTips
Yoshitaka Seo
2017/9/14の「webっちゃvol.20」の発表資料です。Microsoft Cognitive ServisesをLogicAppsを利用しノンコーディングで利用・Web制作に活かしてみた話。
アクセシビリティを考えたalt属性を自動生成してみよう!
アクセシビリティを考えたalt属性を自動生成してみよう!
典子 松本
サイボウズで作ったデータベース関係のライブラリの話
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
S Akai
「プログラミング無しでここまでできる!Neural Network Console活用のススメ」 講師:足立 悠 (Haruka Adachi) 氏 2017年はAI元年、2018年はAIの民主化元年と言われるように、誰もがAIを使える社会が到来しつつある今、マウスのドラッグ&ドロップだけで簡単にAI(ディープラーニング)モデルを作成できるNeural Network Consoleが注目を集めています。本セッションではNeural Network Consoleの概要と、時系列データの異常検知などを例に具体的な活用方法を紹介します。
[2018/9/27(木): 三木会@大阪] プログラミング無しでここまでできる!Neural Network Console活用のススメ
[2018/9/27(木): 三木会@大阪] プログラミング無しでここまでできる!Neural Network Console活用のススメ
Insight Technology, Inc.
.NETラボ 2017/5/27
Custom Vision
Custom Vision
Tomokazu Kizawa
2016年7月17日に開催された「さくらじまハウス」での講演資料です。
Going Serverless, Building Applications with No Servers
Going Serverless, Building Applications with No Servers
Keisuke Nishitani
20120623 cv勉強会 shirasy
20120623 cv勉強会 shirasy
Yoichi Shirasawa
https://satonaoki.wordpress.com/2017/07/04/db-analytics-showcase-sapporo/ http://www.db-tech-showcase.com/dbts/analytics db analytics showcase Sapporo 2017 (2017/06/30-07/01) http://www.db-tech-showcase.com/dbts/analytics MicrosoftのAIテクノロジーを活用しよう ~インテリジェントAPIからディープ ラーニング フレームワークまで~ Microsoftは、AI (人工知能) に関連する幅広いテクノロジやサービスを提供しています。 本セッションでは、画像処理、音声認識、自然言語処理などに活用できるAPIやサービスを提供している「Microsoft Cognitive Services」、ディープ ラーニング フレームワーク「Microsoft Cognitive Toolkit」(CNTK) を中心に、AIを活用したアプリケーション開発に役立つ情報をお伝えします。
[db analytics showcase Sapporo 2017] MicrosoftのAIテクノロジーを活用しよう ~インテリジェントAPIからデ...
[db analytics showcase Sapporo 2017] MicrosoftのAIテクノロジーを活用しよう ~インテリジェントAPIからデ...
Naoki (Neo) SATO
Web creed
Web creed
Net Kanayan
Phpconf2010
Phpconf2010
KLab株式会社
Similar to Aiにwebアプリ診断をやらせてみる
(20)
アプリの「無事故リリース」を目指して~品質管理部によるSmartBeat活用事例~
アプリの「無事故リリース」を目指して~品質管理部によるSmartBeat活用事例~
アクセシビリティとこれからのWebデザイン
アクセシビリティとこれからのWebデザイン
コロナ時代を生き抜く(?) Slackアプリ開発・運用知見まとめ
コロナ時代を生き抜く(?) Slackアプリ開発・運用知見まとめ
Discussion for Social WEB Bisiness
Discussion for Social WEB Bisiness
Pythonで検索エンジン2
Pythonで検索エンジン2
ネットワーク分散型フレームワークConView
ネットワーク分散型フレームワークConView
機械学習でお小遣いを稼ぐ! - 本推薦 Twitter bot の紹介 -
機械学習でお小遣いを稼ぐ! - 本推薦 Twitter bot の紹介 -
サイトサーチアナリティクスとは
サイトサーチアナリティクスとは
Introduction of my works
Introduction of my works
「新しい」を生み出すためのWebアプリ開発とその周辺
「新しい」を生み出すためのWebアプリ開発とその周辺
Custom Visionを活用するためのTips
Custom Visionを活用するためのTips
アクセシビリティを考えたalt属性を自動生成してみよう!
アクセシビリティを考えたalt属性を自動生成してみよう!
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
[2018/9/27(木): 三木会@大阪] プログラミング無しでここまでできる!Neural Network Console活用のススメ
[2018/9/27(木): 三木会@大阪] プログラミング無しでここまでできる!Neural Network Console活用のススメ
Custom Vision
Custom Vision
Going Serverless, Building Applications with No Servers
Going Serverless, Building Applications with No Servers
20120623 cv勉強会 shirasy
20120623 cv勉強会 shirasy
[db analytics showcase Sapporo 2017] MicrosoftのAIテクノロジーを活用しよう ~インテリジェントAPIからデ...
[db analytics showcase Sapporo 2017] MicrosoftのAIテクノロジーを活用しよう ~インテリジェントAPIからデ...
Web creed
Web creed
Phpconf2010
Phpconf2010
More from Isao Takaesu
Fully automatic penetration test tool using Machine Learning.
Deep Exploit@Black Hat Europe 2018 Arsenal
Deep Exploit@Black Hat Europe 2018 Arsenal
Isao Takaesu
Computer Security Symposium 2018の発表資料。 Deep ExploitとGyoiThonの紹介。
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
Isao Takaesu
インターネット上で誰でも簡単に入手できるデータを、全自動で「価値あるデータ」に錬金する技術の紹介。
サイバーセキュリティ錬金術 - ノイズから価値あるデータを生成する技術 -
サイバーセキュリティ錬金術 - ノイズから価値あるデータを生成する技術 -
Isao Takaesu
機械学習によるログ分析入門の入門
ハニーポッター技術交流会
ハニーポッター技術交流会
Isao Takaesu
Machine Learning 15 minutes! #16
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成
Isao Takaesu
PYCONJP 2017. https://pycon.jp/2017/ja/
Pythonと機械学習によるWebセキュリティの自動化
Pythonと機械学習によるWebセキュリティの自動化
Isao Takaesu
CNNに微小に細工した画像を入力させることで、クラスの誤分類を誘発する手法。
Convolutional Neural Networkに対する攻撃手法
Convolutional Neural Networkに対する攻撃手法
Isao Takaesu
More from Isao Takaesu
(7)
Deep Exploit@Black Hat Europe 2018 Arsenal
Deep Exploit@Black Hat Europe 2018 Arsenal
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
サイバーセキュリティ錬金術 - ノイズから価値あるデータを生成する技術 -
サイバーセキュリティ錬金術 - ノイズから価値あるデータを生成する技術 -
ハニーポッター技術交流会
ハニーポッター技術交流会
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成
Pythonと機械学習によるWebセキュリティの自動化
Pythonと機械学習によるWebセキュリティの自動化
Convolutional Neural Networkに対する攻撃手法
Convolutional Neural Networkに対する攻撃手法
Aiにwebアプリ診断をやらせてみる
1.
AIにWebアプリ診断をやらせてみる ssmjp 2015/11/24 ~絶賛開発中!!~
2.
1.自己紹介 • 名前:babaroa@bbr_bbq • 仕事:Webアプリケーションの脆弱性診断 •
職歴:銀行系システム開発、Webアプリ開発など • 趣味:スキャナ作り、機械学習 ・6,720分でWebアプリケーションスキャナを作る方法 ・多層パーセプトロンでCAPTCHAを認識する … http://qiita.com/bbr_bbq
3.
2.GOAL ~目指しているもの~ 人間の診断員と同じように、Webアプリの脆弱性を見つける。 そんなAIを作りたい。 ・診断対象のWebアプリを隅々まで巡回し、 ・様々な診断を実施し、 ・脆弱性を発見したら報告する。 具体的には… 完成にはあと30年くらいかかる見込み…
4.
3.いまできること ・Webアプリの巡回 ページ種別の判別(ログイン?会員登録?) 最適なパラメータ値の入力
ページ遷移の成否を判別 ・脆弱性スキャン ・脆弱性の報告 会員登録機能でアカウントを作った後にログインを試行し、 ログイン後のページを粛々と巡回しながらスキャンする。 こんなことができます… AIで実現
5.
4.診断の流れ ① AIに診断対象のURLを伝える ←
ここだけ人間が関与 ② フォームタグ(FORM)などを頼りに次遷移のURLを取得 ③ 遷移先のページ種別を判別(ログイン?会員登録?検索?) Bayesian network ④ 正常遷移できるパラメータ値の組み合わせを学習 DQN(Deep Q-Network) ⑤(学習結果を基に)遷移を再現しながらスキャンを実行 ⑥ 診断結果を報告 loop 全ページの診断が終わるまで「学習→遷移→スキャン」を ひたすら繰り返す。
6.
5.デモ 診断対象:OWASP BWA Cyclone シグネチャ:SQLインジェクション「‘¥」 レスポンスに出力されるSQL構文エラーを検出して脆弱性判定 例)
7.
デモの様子はこちらをご覧ください。 https://www.youtube.com/watch?v=263uJZUvNNU&feature=youtu.be
8.
6.今後の予定 ・巡回能力の強化(~1年) 複雑なアプリの巡回、CAPTCHA/画像認証の突破 ・脆弱性スキャン能力の強化(~1、2年) 人間の知覚を要して検出する脆弱性にも一部対応
誤検知の低減 ・自然言語処理の組み込み ・バグバウンティプログラムへの参戦 30年より前倒しして完成させたい…
Download now