Vorwort
im Zuge vonKünstliche Intelligenz (KI)und die kontinuierliche Entwicklung von Technologien zur Verarbeitung natürlicher Sprache.AI & GPT (Generative Pre-Training Models) erhalten immer mehr Aufmerksamkeit im Bereich der Sicherheitstests. Diese Tools nutzen die Leistungsfähigkeit der KI, um automatisch Testfälle zu generieren, Sicherheitsschwachstellen zu identifizieren und die Sicherheit eines Systems zu bewerten. In diesem Beitrag werden wir die Konzepte und Anwendungen von KI- und GPT-basierten Sicherheitstests sowie deren Einsatz in der Softwareentwicklung und -entwicklung vorstellen.NetzwerksicherheitDie Bedeutung der
KI- und GPT-basierte Sicherheitstests haben ein breites Anwendungsspektrum in der Softwareentwicklung und Cybersicherheit. Sie können Entwicklungsteams dabei helfen, potenzielle Sicherheitsschwachstellen zu identifizieren, die Sicherheit des Systems zu bewerten und Verbesserungsvorschläge zu machen. Hier sind einige gängige Anwendungsszenarien:automatisierte PrüfungIdentifizierung von Sicherheitsschwachstellen, Automatisierung von Sicherheitspatches, Erkennung von Anomalien, KI-Modelle für die Bereitstellung von Sicherheit.
BurpGPT
Die Burp Suite-Erweiterung integriert OpenAIs GPT zur Durchführung zusätzlicher passiver Scans, um hochgradig angepasste Schwachstellen zu entdecken, und unterstützt die Durchführung jeder Art von verkehrsbasierter Analyse.
Projektadresse: https://github.com/aress31/burpgpt
"
burpgpt nutzt die Macht der KI, um Sicherheitsschwachstellen zu erkennen, die herkömmliche Scanner möglicherweise übersehen. Es sendet den Netzwerkverkehr an ein benutzerspezifisches OpenAI-Modell und ermöglicht so eine anspruchsvolle Analyse in einem passiven Scanner. Die Erweiterung bietet anpassbare Prompts für eine maßgeschneiderte Analyse des Netzwerkverkehrs, um die spezifischen Anforderungen jedes Benutzers zu erfüllen. Lassen Sie sich von den Anwendungsbeispielen inspirieren.
"
Die Erweiterung generiert einen automatisierten Sicherheitsbericht, der potenzielle Sicherheitsprobleme auf der Grundlage von Benutzeraufforderungen und Echtzeitdaten aus von Burp gestellten Anfragen zusammenfasst. Durch den Einsatz von KI und natürlicher Sprachverarbeitung vereinfacht die Erweiterung den Sicherheitsbewertungsprozess und bietet Sicherheitsexperten einen Überblick über die gescannten Anwendungen oder Endpunkte. So können sie potenzielle Sicherheitsprobleme leichter identifizieren und für die Analyse priorisieren und gleichzeitig eine größere potenzielle Angriffsfläche abdecken.
"
"Installation
"
git clone https://github.com/aress31/burpgpt klone das Projekt nach lokal
gradle shadowJar kompiliert die jar-Dateien im Verzeichnis: lib/build/libs/
Öffnen Sie dann burpsuite und fügen Sie mit Extensions add das Plugin hinzu, indem Sie die Verzeichnisadresse
ok
"
"Verwendung
"
In der burpsuite-Symbolleiste wird ein neues Burpgpt-Feld angezeigt, klicken Sie auf Set API, Model, Set Field Length, Set Custom Prompts
In der Proxy-Historie oder mit der rechten Maustaste auf eine Anfrage klicken und auf Passiven Scan durchführen klicken, dann wird automatisch Burpgpt verwendet, um die Sicherheitsschwachstelle der gescannten Anfrage zu erkennen, und es wird automatisch ein Bericht erstellt.
Das Analysemodell in gpt wird dann automatisch aufgerufen, um die Analyse von Anfragen und Antworten auf Schwachstellen zu automatisieren.
"
"Test".
"
Für die Tests wurde ein lokaler Dvwa-Bereich eingerichtet.
Verwenden Sie Burpgpt, um gpt zur automatischen passiven Überprüfung für jede Anfrage im BereichSchwachstellenanalyseDer Bericht wird automatisch erstellt.
"
"Zusammenfassung"
"
Es gibt eine Community-Version und eine professionelle Version des Programms, die wie burpsuite kostenpflichtig ist, damit Sie es selbst testen und diskutieren können.
Beratung
https://github.com/aress31/burpgpt
https://burpgpt.app/
Originalartikel von batsom, bei Vervielfältigung bitte angeben: https://cncso.com/de/brupsute-linked-chatgpt-automated-vulnerability-analysis.html
