Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Juice Shop に AWS Security Agent で ペネトレーショ...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
iwasa
May 23, 2026
330
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OWASP Juice Shop に AWS Security Agent で ペネトレーションテストを実施した結果
iwasa
May 23, 2026
More Decks by iwasa
See All by iwasa
最近の医療 x AWS
tak1wa
0
400
3大クラウドから学ぶクラウド上でのランサムウェア対策
tak1wa
0
890
Lambdaの様々な新機能とユースケース
tak1wa
0
440
AWS最新機能を駆使したマルチテナントSaaSアーキテクチャーを考えてみる
tak1wa
0
1.1k
Tsumiki を使って仕様駆動開発をやってみよう
tak1wa
0
1k
社内開発で Amazon Q Developer を使っていたが Kiro に乗り換えた話
tak1wa
0
1.8k
Microsoft Azure プランの復習とプラン切り替えのお話
tak1wa
0
570
Amazon Q Detector Library から学ぶセキュアコーディング
tak1wa
0
480
はじめての「さくらのクラウド」
tak1wa
0
420
Featured
See All Featured
Documentation Writing (for coders)
carmenintech
77
5.4k
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
400
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
200
Evolving SEO for Evolving Search Engines
ryanjones
0
220
Build your cross-platform service in a week with App Engine
jlugia
234
18k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
We Analyzed 250 Million AI Search Results: Here's What I Found
joshbly
1
1.4k
Tell your own story through comics
letsgokoyo
1
970
Exploring anti-patterns in Rails
aemeredith
3
430
Building AI with AI
inesmontani
PRO
1
1.1k
Transcript
2026/5/22 いわさ クラメソさっぽろIT勉強会(仮) #13 OWASP Juice Shop に AWS Security
Agent で ペネトレーションテストを実施した結果
⾃⼰紹介 2
今⽇の話 3 • AWS Security Agent の紹介 • 実⾏の様⼦ •
いくつか気がついたこと • まとめ
AWS Security Agent の紹介
AWS Security Agent の紹介 5
AWS Security Agent の紹介 6 機能 対象 タイミング Design Review
設計書 設計フェーズ Code Review ソースコード(GitHub PR) 実装フェーズ Penetration Test デプロイ済みアプリ テストフェーズ
実⾏の様⼦
実⾏の様⼦ 8
実⾏の様⼦ 9
実⾏の様⼦ 10
いくつか気がついたこと
ドメイン検証が必須 12 • 攻撃対象のドメインは事前に所有権を証明する必要がある • 検証⽅式: ◦ DNS TXT(Route 53
同⼀アカウントなら One-click) ◦ HTTP Route(Webサーバーにトークン配置) ◦ Private VPC(VPC内リソース向け)
ポート 80 / 443 じゃないとダメ 13 • 最初ポート 3000 で公開
→ エラー • 標準ポートにマッピングし直す必要があった • ALB を前段に置くか、ポートマッピングで対応 • カスタムポートを使う業務アプリ等は要注意
CloudWatch Logs に実⾏ログが出⼒される 14 • ロググループ: /aws/securityagent/{agent-space名}/{pentest-id} • タスクごとにログストリームが分かれている •
JSON 形式で各インタラクションが記録される
CloudWatch Logs に実⾏ログが出⼒される 15 • ログの例(CROSS-SITE-SCRIPTING タスク) { "interaction_number": 8,
"response": { "content": [ { "type": "text", "text": "main.js has 13 bypassSecurityTrustHtml() calls. One assigns raw search input: this.searchValue = sanitizer.bypassSecurityTrustHtml(e). Targeting /#/search with XSS payload." }, { "type": "tool_use", "name": "bash", "input": { "command": "curl '.../#/search?q=<img src=x onerror=window._xssTest=1>'" } } ] } }
task-hours ≠ 実⾏時間 16 • 複数タスクが並列実⾏される • 実⾏時間 55分 →
task-hours 3.66h • $50/task-hour → 今回 $183(中断時点) • 公式の料⾦例: ◦ EC サイト規模: 4時間実⾏ → 24 task-hours → $1,200 ◦ エンタープライズ SaaS: 9.5時間実⾏ → 31 task-hours → $1,563
CloudTrail に証跡が残る 17 • securityagent.amazonaws.com でイベント記録 • StartPentestJob / CreatePentest
等 • 開始‧中断のタイムスタンプが残る • SCP とかで Deny すれば実⾏を制限可能
まとめ
まとめ 19 • エージェントはソースコード解析から攻撃まで⾃律的に⾏う • 料⾦は並列実⾏で膨らむ、事前に⾒積もりを • ドメイン検証必須 → ⾃分のアプリにしか実⾏できない安全設計
None