TokyoBlackHatNews

タグ: セキュリティスキャナー

helpnetsecurity.com

AgentGG:オープンソースのエージェント型SASTスキャナー

静的解析ツールはこれまで長年にわたり、ソースコードを既知の問題パターンと照合し、エンジニアが手動でトリアージする候補リストを大量に提示してきました。AgentGGは同じ課題に対し、AIエージェントを活用して取り組んでいます。コードを読み込み、インポートを追跡し、コールグラフをたどって、報告前に検出結果
esecurityplanet.com

Nessusエージェントの脆弱性がWindowsで SYSTEM レベルのアクセスを許可

TenableのNessusエージェント for Windowsの脆弱性により、攻撃者がシステム全体を侵害する直接的な経路を得る可能性があります。 この脆弱性により「…任意のコード実行が可能になり、攻撃者がこの脆弱性を悪用して、昇格されたSYSTEM権限で悪意のあるコードを実行する可能性があります」と、Tenable
meterpreter.org

スキャナーの先へ:Hadrianが明かすAPI認可の隠された欠陥

アプリケーションプログラミングインターフェース内の脆弱性を発見することは、初めに見えるより複雑な作業であることが多い。多数の自動スキャナは完璧な状態を朗々と告げながら、最も重要な問題、つまり不備のあるアクセス制御検証に対して危険なほど盲目のままである。「Hadrian」と名付けられた初期のオープンソース・ツールは、正
koi.ai

オープンセサミ:Open VSXの新スキャナーにおけるフェイルオープンのバグが、マルウェアをそのまま通過させた経緯

‍要約: Open VSXの新しい公開前スキャンパイプラインにフェイルオープンのバグが存在しました。公開エンドポイントに大量リクエストを送りつければ、スキャナーはスキップされ、悪意ある拡張機能が「合格」マーク付きで公開されてしまいます。報告から3日以内に修正済み。  •  •