
ChatGPTで脆弱性を探す
テストサイトのソースコードの脆弱性をChatGPTに探させた結果を紹介します。
機械学習を用いて製品特徴を学習することで、構成情報が秘匿されるような環境においても、構成情報や脆弱性を判断させるツールの開発および構成技術の調査研究。
調査対象ホストに殆ど影響を与えず、ホスト上で稼働するソフトウエア/バージョンの確認、および、当該ソフトウエアに存在する脆弱性の有無を迅速に調査することを支援するツールです。グローバル企業における脆弱性調査の実績、および、国内外の有名カンファレンスにも多数出展しており、好評を得ています。
図 1 2019年3月 Blackhat Asiaでの発表の様子
GyoiThonは対象のWebサーバにアクセスし、サーバ上で稼働している製品(CMS, Webサーバソフトウエア, Framework, Language等)を特定することや、製品に関連するCVE番号を列挙することが可能です。また、GyoiThonは、機械学習を用いた分析機能を有しており、調査を重ねることでより検出制度が向上する仕組みです。また、既存のツールではシグネチャによるパターンマッチングを採用しており、大量のアクセスが必要になります。GyoiThonでは通常アクセスを行ったレスポンスで得られる特徴を解析することで、システム構成を把握することができるため、迅速かつ安全にサイトの調査を行うことが可能です。
詳しくはこちらをご覧ください。https://github.com/gyoisamurai/GyoiThon
関連記事