Syhunt

お知らせNEWS

  1. HOME
  2. -NEWS
  3. -Syhunt Hybrid v7.0.13 更新情報

Syhunt Hybrid v7.0.13 更新情報

v7.0.13では、強化されたAJAXクローラーと生成AIアプリのチェック機能が搭載されました。

今回のアップデートでDAST機能(ダイミックスキャン)を拡張し、AJAXを多用するWebアプリケーションのより深いクローリングや、LLM(大規模言語モデル)を搭載したWebアプリケーションのテスト、およびプリレンダリングとローカルストレージのサポートを開始いたしました。

Syhunt_Hybrid_v7.0.13

これまで10年以上にわたって、Dynamicでは最新のWebアプリケーションのテストという課題に対応するために常に進化を続けてきました。

2009年に自社開発のクローラーとブラウザエミュレーター (Scarlet) を導入し、JavaScriptとAJAX/XHRコールの分析と実行機能を追加。2014年の独立ベンチマーク調査によると、WIVETテストにおいてSyhuntのクローラーが業界トップクラスと並ぶ 94% の網羅率を達成しました。その後、SAST-in-DAST機能(SASTとDASTを統合した機能)を追加することで、クライアントサイドの JavaScript コードを理解・分析し、脆弱性検出機能を拡張。これには、Angularや AngularJSを搭載したWebアプリケーションも含まれ、これらのアプリケーションに特化した専用サポートも追加しました。

最新版では、これまでの対象範囲をさらに拡大し、従来のMEANスタック(MongoDB、Express.js、AngularJS、Node.js)だけにとどまらず、AngularをReact.jsに置き換えたMERNスタックなど、採用率の高いスタックにも取り組んでいます。Google Chrome、Selenium、Pythonとの強固なクローラーと連携して、AJAXを多用するWebプリケーションのプリレンダリング、認証、クロール、クライアントサイドとサーバーサイドの両方の脆弱性テストを行うことが可能となりました。

また、クローラーの強化だけでなく、新たなインジェクションチェック機能を追加。従来のWebアプリケーション診断では検出できなかった生成AI固有の脆弱性を検出できるようになりました。LLM(大規模言語モデル)搭載のWebアプリケーションにおけるクロスサイトスクリプティングを検出する業界初のDASTツールとなりました。これは、LLM関連のXSS脆弱性チェックをツールに導入したSyhunt社の先駆的な研究成果のおかげです。




生成AIに注力

今後リリース予定のバージョンでは、生成AIアプリのアプリケーションセキュリティテストの範囲を拡大していきます。2024年1月、Syhuntは戦略的な方向転換の一環として、コア事業ではないダークウェブ監視事業を終了し、生成AIへの注力を強化すると発表しました。この戦略転換にもかかわらず、将来は侵害スコア機能の刷新と再導入を計画しております。




今回のアップデート内容

  • LLM(大規模言語モデル)特有のクロスサイト・スクリプティング脆弱性のチェックを追加
  • AJAXクローリング機能が大幅に向上
  • プリレンダリングとローカルストレージのサポートを追加
  • Selenium Wireのオプションサポートを追加
  • Completeテンプレートで生成されたHTMLレポートに、回答情報が追加
  • Dynamiに審判関連のスパイダー・ルールを追加
  • Syhunt WEB UI版でユーザーを削除できるオプションが追加
  • Dynamicにスパイダーの最適化を追加
  • AIログイン機能の改善(モデル更新後の成功率が向上)

修正内容

  • クライアント側のコードを解析する際のIFrameクロスゾーンスクリプティング関連の誤検出を修正
  • SAST中のMDB形式ファイル(Microsoftが提供しているファイル)の処理問題を修正

用語一覧
● AJAX : ページを更新せずに部分的な情報のやり取りを行う技術
● 生成AI : 機械学習のモデルの一つ。学習済みのデータを活用して新たなデータを生み出せるAI
● プリレンダリング : Webページや画像を事前にレンダリング(生成)しておく処理のこと
● WIVET : Web Information Village Evaluation Test の略称で、ウェブアプリケーションスキャナーの有効性を評価する包括的なウェブアプリケーションセキュリティテストフレームワーク
● 大規模言語モデル : 大な量のテキストデータを使って学習された人工知能の一種。学習したデータに基づいて、文章の作成、翻訳、質問への回答ができる
● Selenium Wire : Python用のライブラリ拡張機能でブラウザが実際に行うHTTPリクエストとレスポンスにアクセスして操作できるようにする
● IFrameクロスゾーンスクリプティング : 異なるセキュリティゾーンにあるiframe要素に悪意のあるJavaScriptコードを挿入することでユーザーの情報を窃取したり、Webサイトを改ざんする攻撃