HCL AppScan DAST 10.7.0 の AI によるエラーページの検出

2024/11/5 - 読み終える時間: ~1 分

Detecting Error Pages with AI in HCL AppScan DAST 10.7.0 の翻訳版です。

HCL AppScan DAST 10.7.0 の AI によるエラーページの検出

2024年10月26日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

動的アプリケーションセキュリティテスト (DAST) は、実行中の Web アプリケーションをスキャンして外部攻撃をシミュレートすることでセキュリティの脆弱性を特定するブラックボックステスト手法です。これは、Web サイトをクロールして誤った入力を挿入し、アプリケーションが予期しないデータや誤ったデータを処理する方法を観察することによって行われます。これらの種類の入力はエラーページをトリガーする必要があります。トリガーされない場合は、ページが機密情報を公開していることを知らせたり、不適切なエラー処理による潜在的な脆弱性を示したりする可能性があります。

検証方法とエッジケース

HCL AppScan DAST には、これらの種類の脆弱性を検証するための 2 つの主な方法があります。1 つのケースでは、DAST エンジンは、何を探すべきかについてトレーニングされており、ヒューリスティックを使用して、脆弱性を示すエラーメッセージの一般的なパターンを認識します。これらには、一般的なデータベースエラーメッセージ (MySQL または SQL Server エラーなど) や、潜在的なセキュリティ問題としてフラグを付ける必要がある「null 参照」、「構文エラー」、「例外」などの特定のキーワードやフレーズが含まれます。

さらに、DAST は、何を探すべきかをトレーニングすることなく、すべての誤った入力を調べる 2 番目の方法を使用します。この 2 番目のプロセスは、特にエラーページ検出に依存しています。誤った入力はエラーページをトリガーするはずです。トリガーされない場合は、結果が脆弱性と見なされます。ただし、エラーメッセージがあまり目立たなかったり、エラーのあるページが通常のページと非常によく似ているなど、難しいエッジケースがあります。スキャンでこれらの兆候が見落とされると、ページがエラーのない応答と誤って解釈され、誤検知が発生する可能性があります。言い換えると、スキャンでは、存在しない潜在的な脆弱性や情報の誤った取り扱いが報告されます。

GenAI の概要

HCL AppScan バージョン 10.7.0 以降、DAST テクノロジーは Gen AI を活用して、これらのエッジケースに固有のリスクを軽減できるようになりました。簡単に言うと、特定のページにエラーがユーザーに表示されるかどうかを尋ねるプロンプトが AI に送信されます。顧客から提起された問題に関する実際のテストに基づくと、AI はエッジケースでのエラー検出において優れた実績があり、HCL AppScan DAST ヒューリスティックを補完します。

スキャン時間の増加を最小限に抑えるために、スキャンルールでエラーページの検出が必要な場合のみ AI にクエリが送信されます。その場合でも、HCL AppScan DAST がヒューリスティックのみを使用してエラーページを検出できなかった場合にのみクエリが送信されます。HCL AppScan が AI の助けを借りずに応答をエラーとして検出できた場合は、この点で誤検出はほとんどないかまったくないため、検証は必要ありません。

GenAI のご紹介図: HCL AppScan Standard (DAST ツール) の AI 構成を示すスクリーンショット (注: お客様は独自の LLM エンドポイントとトークンを提供する必要があります。)

HCL AppScan は、主に静的アプリケーションセキュリティテスト (SAST) での誤検出を減らすために、何年も前から AI をテストツールに組み込んできました。DAST エンジンでの Gen AI のこの新しい採用と、より迅速な修復のための新しい AutoFix 機能での使用は、どちらも最先端のイノベーションであり、HCL AppScan をアプリケーションセキュリティテストのグローバルリーダーとして定義しています。

HCL AppScan バージョン 10.7.0 の追加更新の詳細については、こちらをご覧ください。また、今すぐ当社にご連絡いただき、アプリケーションセキュリティ体制の改善と Digital+ 経済におけるビジネスリスクの軽減をどのように支援できるかご確認ください。

Search

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Follow @HclJapan Tweets by HclJapan

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベントガイドクラウドサポートサポート技術情報サポート終了セキュリティセキュリティーセキュリティー脆弱性テクてく Lotus 技術者夜会ニュースノーツコンソーシアムパートナーライセンス九州地区 Notes パートナー会出荷日研修

HCL AppScan DAST 10.7.0 の AI によるエラー ページの検出