Предисловие
послеИИи постоянное развитие технологий обработки естественного языка.ИИ Генеративные модели предварительного обучения (GPT) привлекают все больше внимания в области тестирования безопасности. Эти инструменты используют возможности искусственного интеллекта для автоматической генерации тестовых примеров, выявления уязвимостей и оценки безопасности системы. В этой статье мы расскажем о концепциях и применении инструментов тестирования безопасности на основе ИИ и GPT, а также об их использовании в разработке программного обеспечения иинформационная безопасностьВажность
Инструменты тестирования безопасности на основе ИИ и GPT находят широкое применение в разработке программного обеспечения и кибербезопасности. Они могут помочь командам разработчиков выявить потенциальные уязвимости, оценить защищенность системы и предоставить предложения по ее улучшению. Вот некоторые распространенные сценарии применения:автоматизированное тестированиеВыявление уязвимостей в системе безопасности, автоматизация установки патчей безопасности, обнаружение аномалий, ИИ-модели для развертывания системы безопасности.
BurpGPT
Расширение Burp Suite интегрирует GPT от OpenAI для проведения дополнительного пассивного сканирования с целью обнаружения уязвимостей с учетом индивидуальных особенностей и поддерживает проведение любого типа анализа трафика.
Адрес проекта: https://github.com/aress31/burpgpt
"
burpgpt использует возможности искусственного интеллекта для обнаружения уязвимостей в системе безопасности, которые традиционные сканеры могут пропустить. Оно отправляет сетевой трафик в указанную пользователем модель OpenAI, обеспечивая сложный анализ в пассивном сканере. Расширение предоставляет настраиваемые подсказки для индивидуального анализа сетевого трафика в соответствии с конкретными потребностями пользователя. Ознакомьтесь с примерами использования в разделе для вдохновения.
"
Расширение генерирует автоматический отчет о безопасности, в котором обобщаются потенциальные проблемы безопасности на основе подсказок пользователя и данных, полученных в режиме реального времени от запросов, сделанных Burp. Благодаря использованию искусственного интеллекта и обработки естественного языка расширение упрощает процесс оценки безопасности и предоставляет специалистам по безопасности обзор приложений или конечных точек, которые были просканированы, на более высоком уровне. Это позволяет им легче выявлять и определять приоритетность потенциальных проблем безопасности для анализа, охватывая при этом большую потенциальную поверхность атак.
"
"Установка
"
git clone https://github.com/aress31/burpgpt клонируйте проект в локальный
gradle shadowJar компилирует jar-файлы в каталоге: lib/build/libs/
Затем откройте burpsuite и с помощью Extensions add добавьте плагин, выбрав адрес каталога
хорошо
"
"Использование
"
На панели инструментов burpsuite появится новое поле Burpgpt, нажмите на Set API, Model, Set Field Length, Set Custom Prompts.
Внутри истории прокси или щелкните правой кнопкой мыши на запросе и выберите Do passive scan, он автоматически использует Burpgpt для обнаружения уязвимостей безопасности сканируемого запроса, и отчет будет создан автоматически.
Затем автоматически вызывается модель анализа в gpt, чтобы автоматизировать анализ запросов и ответов на предмет уязвимостей.
"
"Проверка".
"
Для тестирования был создан местный полигон Dvwa.
Используйте Burpgpt для вызова gpt для автоматического пассивного сканирования для каждого запроса в диапазонеАнализ уязвимостейОтчет будет сформирован автоматически.
"
"Резюме"
"
Существует версия для сообщества и профессиональная версия программы. Как и burpsuite, профессиональная версия является платной, поэтому вы можете сами протестировать ее и обсудить.
Ссылаться на
https://github.com/aress31/burpgpt
https://burpgpt.app/
Оригинальная статья написана batsom, при воспроизведении просьба указывать: https://cncso.com/ru/brupsute-linked-chatgpt-automated-vulnerability-analysis.html.