概要
https://zenn.dev/junpei_katayama/articles/self-vulnerability-check
詳細内容
## Antigravity を使って自作 WEB アプリの脆弱性診断を行ってみたメモ
https://zenn.dev/junpei_katayama/articles/self-vulnerability-check
Antigravityを活用し、自作Webアプリの脆弱性診断を試した結果、高精度なレポート生成と詳細な対策提示が可能であることが判明しました。
**Content Type**: ⚙️ Tools
**Language**: ja
**Scores**: Signal:4/5 | Depth:4/5 | Unique:3/5 | Practical:5/5 | Anti-Hype:4/5
**Main Journal**: 81/100 | **Annex Potential**: 77/100 | **Overall**: 80/100
**Topics**: [[脆弱性診断, Webセキュリティ, クロスサイトスクリプティング, 認証認可, AI開発ツール]]
著者は、AIコーディングエージェントの普及によりWebアプリケーション公開の敷居が下がった一方で、脆弱性によってサービスが維持できなくなる事例があることに触れ、誰もが簡単に脆弱性診断を行える方法として、Chrome操作を自動化するAntigravityの活用を提案しています。
意図的に脆弱に作られた自作Webアプリ「VulnBoard」を診断対象とし、「脆弱性診断を行い、レポートを提出してほしい。危険度や解決方法も示してほしい」とプロンプトで指示したところ、Antigravityは驚くほど詳細なレポートを出力しました。検出された脆弱性には、`innerHTML`を直接使用することによる格納型XSSやDOM-based XSS、クライアントサイドのみで認証・認可を行っていることによる認証回避・セッション改ざん、管理者機能への不正アクセス、パスワードの平文保存などが含まれています。各脆弱性に対しては、具体的な実証方法(Proof of Concept)と、`innerText`や`textContent`の使用、適切なエスケープ処理、サーバーサイドでの認証・認可ロジックの実装といった明確な対策が示されました。
さらに、フォームへの連続投稿に対するレート制限の欠如もテストさせ、短時間で1000件の投稿を成功させることで、スパム攻撃のリスクを実証しました。著者は、Antigravityが期待以上に優秀であり、忖度のない実直な評価と詳細なレポートを提供するため、自身がWebアプリを公開する際にも利用を検討すると述べています。特に、サーバーサイドでの検証が一切行われていない点が根本的な問題であり、Webサービスの実運用にはバックエンドサーバーの実装が不可欠であると強調しています。この診断ツールは、AIがもたらす開発速度の向上とセキュリティリスクへの対応という、現代のWebエンジニアが直面する課題に対する実践的な解決策を提示しています。