Nullconバンガロールのハッカー、Rahul Sasi 氏は、人間のように考える脆弱性スキャナーとなることを願うものの基礎を築き上げました。
この野心的なプロジェクト (PDF) は、セキュリティ関連の新興企業 CloudSek の Sasi 氏と彼の 6 人のチームによる成果であり、セキュリティ業界の大衆が人間のような侵入テスト ボックスの構築に協力してくれることを期待して、現在オープンソース化されています。
文書上の目標は非常にシンプルです。Web に精通したユーザーの能力とハッカーの直感を融合し、それを自動化ツールに組み込むことです。
これにより、Web 上を自然にナビゲートし、ハッカーが最も早く利益を得るために狙うサイトの部分を特定できるようになります。
実際には、ツールが動的なユーザー指示に従える必要があり、「サインアップしてください」、「始めましょう」などのフレーズがすべてアカウント登録を意味することを理解する必要があります。
サシ氏は、その要求を完璧に満たしたと考えている。インドのゴアで開催されたセキュリティイベント「Nullcon」で、彼はセキュリティ関係者たちに、名前は伏せつつも開発中のハッキングツールを公開した。この種のものとしては初となるこのツールは、参加者がランダムに選んだサイトで、正規のアカウントを見つけて登録し、一見脆弱そうなプロフィール編集ページを見つけ出す様子を実演した。
「過去の経験から、どこをクリックするか、ハッキングするために何を探すべきかは分かっていますが、機械にはそれができません。」
「私たちは、セキュリティ自動化をより人間的なものにするために、これを少しずつ構築しようとしています。
「拡張に必要な作業量が非常に多いため、オープンソースにする必要があります。非常に大きな課題です。」
Sasi 氏は、アプリケーション セキュリティ スキャナーは、安全でない直接オブジェクト参照バグなど、多くの脆弱性を見逃してしまうと述べています。このバグでは、URL 内のユーザー ID 番号が改ざんされてアカウントが操作される可能性があり、これは最も一般的なバグの 1 つであり、手動で特定するには時間がかかります。
このツールは機械学習と自然言語処理に基づいて構築されており、ベクトル空間モデルを使用して単語の文字列を数値に変換し、ナイーブベイズ機械学習分類器とコサイン類似度を使用してトレーニングを改善します。
テストでは、ある家庭と名前が公表されていないイベント会社でファイルアップロードの脆弱性が見つかり、また、食品配達アプリで直接オブジェクト参照の脆弱性が見つかり、ハッカーが無料でピザを入手できてしまうことが分かりました。しかし
決定木。
CAPCHA 入力、API、言語識別などのさらに多くの機能が開発されています。
Sasi氏は、プロジェクトに興味のある人は誰でも彼(@fb1h2s)に連絡して開発に参加するよう呼びかけている。
「多くのユースケースが考えられますが、今はデモがうまくいっただけで満足しています。」®
