注目のストーリー
機械学習
テックブログ:クライアント証明書が必要なサイトをAeyeScanでスキャンする方法
弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。今回は、クライアント証明書が必要なサイトをAeyeScanでスキャンする方法についてご紹介しています。Qiitaの最新記事はこちらクライアント証明書が必要なサイトの場合、アクセスに使用するクライアント(ブラウザ等)に証明書を設定しておく必要があります。クライアント証明書をサポートしていないツールからアクセスしたい場合、プロキシを設定する機能がないとダメだと思いがちですが、透過プロキシを利用すればアクセスできるように...
テックブログ:新人研修でクローラー作成に挑戦(後編)
弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。今回は、新入社員の大桶さんによる連載ブログの第三弾になります。前回の記事では業務に必要な知識習得の一つのまとめとして、研修用の簡易的なクローラーの作成で苦労したエピソードを綴ってもらいました。今回の記事では、簡易クローラーを実装するにあたり作成した設計書やフローチャートと、作成した簡易クローラーを動かしてみた様子をご紹介しています。https://qiita.com/AeyeScan/items/a734d511e...
テックブログ:新人研修でクローラー作成に挑戦(中編)
弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。今回は、新入社員の大桶さんによる連載ブログの第二弾になります。前回の記事では業務に必要な知識習得の集大成として、簡易的なクローラーの作成を始めたことをお伝えしましたが、先日無事に完成させることができました!といっても簡単にできたわけではなく、作成途中で数々の課題に直面しました。今回の記事では、作成中に行き当たった課題の一部を例に、どうやって解決していったかをご紹介していきます。https://qiita.com/A...
テックブログ:Googleデータポータル(BIツール)を利用したスキャン結果の可視化
弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。今回は、Googleデータポータルを利用して、AeyeScanの日々の診断データの可視化を行う方法をご紹介しています。Qiitaの最新記事はこちらAeyeScanなどの脆弱性診断ツールの結果レポートは、診断した時点での結果を報告するレポートとなります。そのため、定期的に診断を実施している場合、脆弱性検出数の増減や検出箇所の推移などを把握しようとすると、レポートなどから情報を収集し、別途取りまとめる作業が必要となりま...
テックブログ:Djangoの脆弱性 (CVE-2022-34265)のPoC検証
弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。今回は Django の脆弱性 (CVE-2022-34265)を説明した記事になります。https://qiita.com/AeyeScan/items/7e807375eeaef999beb1脆弱性の調査経緯とPoc検証について弊社では、既知の脆弱性をスキャンルールとして作成するだけではなく、新たな脆弱性についての調査・Poc検証も行っています。今回は Django を対象に調査を行いました。Django は、...
テックブログ:SPAも巡回可能!AeyeScanの自動巡回技術
弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。今回は、AeyeScanの要でもある自動巡回技術についてご紹介する記事です。近年、SPA(シングルページアプリケーション)の技術を使用して構築されたサイトを見かける頻度が急速に増えてきました。AeyeScanはブラウザベースのクローラーを搭載しているため、SPAも高精度で巡回することが可能です。本記事では「OWASP Juice Shop」を例にとり、AeyeScanの自動巡回技術を解説しています。https://...
テックブログ:OWASP Top10とASVSの比較
弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。今回は、以前に公開した OWASP ASVSの紹介 の補足として、 同じくOWASPが公開しているOWASP Top10との違いについて紹介していきます。ASVSについての概要はこの記事内でも触れておりますが、必要に応じて以前の記事をご参照ください。https://qiita.com/AeyeScan/items/792fd8e576ff8a7ee032記事の内容の一部を抜粋してご紹介いたします。OWASP Top...
テックブログ:SSHポートフォワードを使った、社内開発環境へのスキャン方法
弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。今回は、SSHポートフォワードを利用して、社内開発環境など、インターネットから直接アクセスできないWebサイトにスキャンを実施する方法をご紹介しています。https://qiita.com/AeyeScan/items/e2d2332b46545ad8627fSaaS型のスキャンツールを利用する場合、スキャン対象のWebサイトがインターネットに公開されている必要があります。そのため、スキャン用に新たにWebサイトを...
テックブログ:OWASP ASVS(Application Security Verification Standard)の目的と活用例
弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。今回は、OWASP ASVS(Application Security Verification Standard)について、エーアイセキュリティラボの視点でご紹介しています。https://qiita.com/AeyeScan/items/0a5ba6605daa92a6ddeeASVSの概要と活用事例についてASVS は OWASP コミュニティの主導で公開されているセキュリティ要件やテストのリストです。Web...
テックブログ:【AWS+Docker】OWASP Benchmarkの環境構築
弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。今回は、「OWASP Benchmark」の構築方法をご紹介しています。https://qiita.com/AeyeScan/items/e4cae412d2ecd5b71d0cOWASP Benchmarkは、OWASPというWebアプリケーションセキュリティに関するコミュニティ団体から提供されているWebアプリケーションです。たくさんの脆弱性が埋め込まれており、脆弱性診断ツールのベンチマークなどの用途として利用...
