セキリュリティはそこそこ意識してると言いつつ、データの所有権が適当とのお笑いコンテンツが出てきて話が入ってこない
セキュリティ実装がともすれば実装する側の独りよがりになりがちというというのは分かっていたことではあってそのためのペネトレーションだが、それすらガチの攻撃者には及ばない時代だね
IDORはマジで「分かっちゃいるけど忘れる」の典型。人間が飽きる全件チェックをAIが黙々とやってくれるのは普通に有用だな
そこそこ意識しているがこのレベルなら人類にはセキュリティは無理でしょ
これはとても良い反省。偉い。
コレでやってるつもりと言われましても…/とは言え程度の差なんだろうな
コードと別の点がつい気になってしまったブクマでごめんなさい。/この視点は、〇〇からは出てこない。/〇〇って、「〇〇」じゃなかった。「〇〇」だった。/〇〇は「〇〇」(小見出し)/〇〇。そして一番大きな〇〇。
流石に個人開発の話だよね??企業で開発してるならこの人だけじゃなく、レビューやテストした人のレベルもヤバい。
このレベルだとAI関係なく、単に認証と認可の違いとかセキュリティの基本を分かってなかっただけの素人でした、としか読めないので、最新の攻撃に耐えられなかったとかエモな感じが欲しい
AIエージェントに自分のサービス攻撃させよう!っていう結論自体は、これからはむしろ公開前の最低ラインになると思うのでいいと思う/shannonのリンク先404だけどKeygraphHQな奴に移動したのかね
冒頭を"セキュリティちゃん"と読んでしまったせいで、妙な部分に感情移入してしまう。
これって、単なる実験ではなく、現実でも起こりうるってわけでしょ?もう起こってるのかな?
OWASPのチェックリストを上から順に潰したと言ってるけど、知識だけで実践が身についてない(もしくは元々無い)の良い例。こういうのをshannonみたいな自動AIで潰せるのは良いと思う。
試したい
「shannon」という自律型AIハッキングツール、Snyk入れろ、SonarQube入れろ
セキュリティー詳しくない私でも、最初の「ログインしたら誰にでもちょっかい出せる」のところで察した。
北朝鮮もソーシャルエンジニアリングにAIを活用してるご時世
このレベルの知識の人が実務に携わってると流石に思いたくないけど個人開発とかだよね…?
この基本的な技術力の無さを見抜ける人事・外注選定が必要なんだけど難しいんだろうなぁ。中身は他の人が言ってるのでもう言わないけど、これをネットの海に公開して人的危険を周知してくれたことには感謝
“これ、SQLインジェクションでもXSSでもない。OWASPのチェックリストで真っ先に出てくる「Broken Access Control」なのに、僕は完全に見落としていた。”
「自分のコードを攻撃するAIエージェントを、開発プロセスに組み込む」
IDORは攻撃手法っぽい名前なので、OWASP API Top 10ばりにBroken Object Level Authorization(BOLA)と言いたいところですが、これがTop 1なのは、プロでもやりがだからですよ!
こういう記事にマウントしても仕方がない。
そうはならんやろ(なっとるやろがい)
自分の所有するデータにアクセスするという要件から考えて実装したら最初に自動的に潰れる脆弱性だと思うんだけど、逆にそんな脆弱性作り込んでしまうのは脆弱性対策がフレームワークの仕事になってるから?
実際の所手あたり次第にこのAIエージェントを向けるだけで相当数のWebサービスは落ちるだろう。逮捕はされるだろうが、元々無敵だったらお手軽にスーパーハッカーとして称えられてセキュリティ職を貰えるかもよ?
自分の知識が浅いとことをAIに補強してもらったという話だよね。使い方としてはとても良いと思う
抜け道を指摘されてそのときに提案されたプランにこっちが穴を見つけて指摘するとドヤ顔で「いい質問です」とか言われると腹が立つ
きをつけよう
“第三の道——「攻撃をAIに委ねる」という発想”
試してみるか
アプリケーションの要件として自分で実装しなければならないものの初手が権限チェックで、ノーチェックでも普通に動作するので意図してテストしないと漏れがちである。
見てる
素人から見るとこの程度やっておけよとおもうけど、それこそ素人意見なのだろうな。実際には無数にある中の見落としなわけだし。
小規模サイト中心に自律的にハック、ランサムを繰り返すAIとかも出てくるやろな。サイト運営者は人ごとではない
他ユーザーのデータを見れるかというのは基本のような。URLのパラメータ変えてみたり。古くはmixiで他ユーザーの画像が見放題だったり。
自分で作った穴には気づきづらいので第3者(AI)によるチェックが有効
これ、昔のPHPとかRailsでバックエンドやってた人達からすると、フロントエンドの奴らは素人も大概か?みたいな気分になる事例だから参考にならない気がする
AIハッカー「shannon」に自作アプリを攻撃させたところ、標準的なセキュリティ対策でも認証やアクセス制御の問題が多数露呈。守る視点だけでは見えない脆弱性に気づかされる衝撃の実験。
良い使い方だと思う
しょ、初歩すぎる、、
自分のコードをAIに攻撃させたら"守り"が全部ザルだった
セキリュリティはそこそこ意識してると言いつつ、データの所有権が適当とのお笑いコンテンツが出てきて話が入ってこない
セキュリティ実装がともすれば実装する側の独りよがりになりがちというというのは分かっていたことではあってそのためのペネトレーションだが、それすらガチの攻撃者には及ばない時代だね
IDORはマジで「分かっちゃいるけど忘れる」の典型。人間が飽きる全件チェックをAIが黙々とやってくれるのは普通に有用だな
そこそこ意識しているがこのレベルなら人類にはセキュリティは無理でしょ
これはとても良い反省。偉い。
コレでやってるつもりと言われましても…/とは言え程度の差なんだろうな
コードと別の点がつい気になってしまったブクマでごめんなさい。/この視点は、〇〇からは出てこない。/〇〇って、「〇〇」じゃなかった。「〇〇」だった。/〇〇は「〇〇」(小見出し)/〇〇。そして一番大きな〇〇。
流石に個人開発の話だよね??企業で開発してるならこの人だけじゃなく、レビューやテストした人のレベルもヤバい。
このレベルだとAI関係なく、単に認証と認可の違いとかセキュリティの基本を分かってなかっただけの素人でした、としか読めないので、最新の攻撃に耐えられなかったとかエモな感じが欲しい
AIエージェントに自分のサービス攻撃させよう!っていう結論自体は、これからはむしろ公開前の最低ラインになると思うのでいいと思う/shannonのリンク先404だけどKeygraphHQな奴に移動したのかね
冒頭を"セキュリティちゃん"と読んでしまったせいで、妙な部分に感情移入してしまう。
これって、単なる実験ではなく、現実でも起こりうるってわけでしょ?もう起こってるのかな?
OWASPのチェックリストを上から順に潰したと言ってるけど、知識だけで実践が身についてない(もしくは元々無い)の良い例。こういうのをshannonみたいな自動AIで潰せるのは良いと思う。
試したい
「shannon」という自律型AIハッキングツール、Snyk入れろ、SonarQube入れろ
セキュリティー詳しくない私でも、最初の「ログインしたら誰にでもちょっかい出せる」のところで察した。
北朝鮮もソーシャルエンジニアリングにAIを活用してるご時世
このレベルの知識の人が実務に携わってると流石に思いたくないけど個人開発とかだよね…?
この基本的な技術力の無さを見抜ける人事・外注選定が必要なんだけど難しいんだろうなぁ。中身は他の人が言ってるのでもう言わないけど、これをネットの海に公開して人的危険を周知してくれたことには感謝
“これ、SQLインジェクションでもXSSでもない。OWASPのチェックリストで真っ先に出てくる「Broken Access Control」なのに、僕は完全に見落としていた。”
「自分のコードを攻撃するAIエージェントを、開発プロセスに組み込む」
IDORは攻撃手法っぽい名前なので、OWASP API Top 10ばりにBroken Object Level Authorization(BOLA)と言いたいところですが、これがTop 1なのは、プロでもやりがだからですよ!
こういう記事にマウントしても仕方がない。
そうはならんやろ(なっとるやろがい)
自分の所有するデータにアクセスするという要件から考えて実装したら最初に自動的に潰れる脆弱性だと思うんだけど、逆にそんな脆弱性作り込んでしまうのは脆弱性対策がフレームワークの仕事になってるから?
実際の所手あたり次第にこのAIエージェントを向けるだけで相当数のWebサービスは落ちるだろう。逮捕はされるだろうが、元々無敵だったらお手軽にスーパーハッカーとして称えられてセキュリティ職を貰えるかもよ?
自分の知識が浅いとことをAIに補強してもらったという話だよね。使い方としてはとても良いと思う
抜け道を指摘されてそのときに提案されたプランにこっちが穴を見つけて指摘するとドヤ顔で「いい質問です」とか言われると腹が立つ
きをつけよう
“第三の道——「攻撃をAIに委ねる」という発想”
試してみるか
アプリケーションの要件として自分で実装しなければならないものの初手が権限チェックで、ノーチェックでも普通に動作するので意図してテストしないと漏れがちである。
見てる
素人から見るとこの程度やっておけよとおもうけど、それこそ素人意見なのだろうな。実際には無数にある中の見落としなわけだし。
小規模サイト中心に自律的にハック、ランサムを繰り返すAIとかも出てくるやろな。サイト運営者は人ごとではない
他ユーザーのデータを見れるかというのは基本のような。URLのパラメータ変えてみたり。古くはmixiで他ユーザーの画像が見放題だったり。
自分で作った穴には気づきづらいので第3者(AI)によるチェックが有効
これ、昔のPHPとかRailsでバックエンドやってた人達からすると、フロントエンドの奴らは素人も大概か?みたいな気分になる事例だから参考にならない気がする
AIハッカー「shannon」に自作アプリを攻撃させたところ、標準的なセキュリティ対策でも認証やアクセス制御の問題が多数露呈。守る視点だけでは見えない脆弱性に気づかされる衝撃の実験。
良い使い方だと思う
しょ、初歩すぎる、、