欧博ABG

提交需求
*
*

*
*
*
连忙提交
点击”连忙提交”,,,批注我明确并赞成 《欧博ABG科技隐私条款》

logo

    产品与服务
    解决方案
    手艺支持
    相助开展
    关于欧博ABG
    申请试用
      AI大模子+N8N事情流的自动化清静测试流程初探
      宣布时间:::2025-11-17 阅读次数::: 3349 次
      PART.1  前 言
      在之前几篇文章中,,,搭建试用了几款现在市面上较量热门的开源AI自动化(辅助)渗透测试工具,,,效果狼籍纷歧,,,总的来说这几款工具离AI自动化清静测试离工程化、、、商业化尚有一定的距离。本文参考已有的方案,,,基于Web越权误差这个常见的细分误差,,,使用AI大模子从零搭建一个自动化清静测试流程。

      针对Web越权误差,,,着实已经有许多很好用的辅助插件可以利便渗透测试职员举行测试,,,好比BurpSuite中的Autorize插件,,,只需要自界说需要替换的认证头即可被动测试;;;贏I的测试插件也有许多,,,构建提醒词对流量返回包举行比照剖析省去人工核验的方法。下面就基于水平越权且只有单个测试账号的场景,,,跑通AI自动化修改参数发包->AI自动比对响应包检测误差的流程,,,如下图所示(图片由AI天生)
      欧博ABG官网·[中国集团]游戏登录入口

      PART.2  AI编写检测系统
      欧博ABG目的是做一个水平越权检测系统,,,AI修改参数,,,重放,,,AI比对响应得出误差检测效果,,,既然目的清晰,,,就可以编写提醒词让AI IDE(本文使用的是Trae)将整个系统实现出来,,,参考提醒词:::

      我想使用大模子手艺开发一个被动式的Web越权误差检测系统:::

      1.古板的自动化越权误差检测原理为burpsuite的Authorize插件,,,通过被动式捕获http流量,,,对指定请求头举行替换如cookie,,,判断返回包长度巨细是否一致,,,一致则保存越权误差;;;

      2.我发明上述检测手段保存局限:::一个是设置牢靠的替换请求头太过死板,,,只能检测浅层的越权误差,,,有些认证头如cookie参数很是多,,,应该凭证参数名的寄义和特征举行动态替换,,,如uid=1001可以替换为加uid=1(可能为治理员)或者随机减数如uid=998,,,或者phone=13811111111替换为phone=18888888888,,,这些都需要大模子识别参数寄义举行动态替换;;;

      3.另一个是只通过判断返回包长度巨细过于局限,,,需要大模子凭证返回包内容举行判断,,,防止误报;;;

      4.另外为了节约token开销,,,需要过滤掉返回包静态资源如html、、、js、、、文件、、、图片等等,,,只判断返回名堂为json、、、xml、、、txt获取其他有用数据返回名堂的请求包

      AI开发系统架构如下图所示
      欧博ABG官网·[中国集团]游戏登录入口

      最终经由多轮对话,,,AI编写除了一个检测系统和一个保存水平越权的测试应用

      启动检测系统,,,检测系统启动在5000端口,,,监听了一个8080端口的被动署理,,,待测应用只需要署理这个端口即可
      欧博ABG官网·[中国集团]游戏登录入口
      欧博ABG官网·[中国集团]游戏登录入口
      点击启动扫描启动测试应用,,,这个测试应用的多个接口保存水平越权误差,,,如订单盘问接口
      /api/user/orders?user_id=1
      欧博ABG官网·[中国集团]游戏登录入口

      可以看到使用检测系统乐成检测出了这个接口的水平越权误差
      欧博ABG官网·[中国集团]游戏登录入口

      从上面流程可以看出,,,我们仅仅通过对话的方式,,,就让AI做出了一个“看起来可用”的Web水平越权误差检测系统,,,甚至关于怎样修改参数、、、怎样比照响应包的提醒词都是AI自行编写的。可是所有使用AI完成这套流程保存一个较量贫困的问题,,,就是维护和扩展只能依赖AI继续完成,,,自己和别人都无法很好的明确和扩展这段代码,,,最后可能酿成一个“屎山”系统。那有没有更好的方式,,,既能完全使用AI大模子解放生产力又能更好维护呢,,,下面就用大模子配合原生AI事情流平台连系的方式举行探索。

      PART.3  AI大模子+N8N事情流重构检测系统
      N8N和coze、、、Dify等系统一样,,,都是原生支持AI大模子的事情流平台,,,拥有很是富厚的组件和社区模板,,,用户只需要在事情台拖动组件举行设置就可以完成,,,如下图所示,,,这样的方式关于维护和扩展来说都很是精练直观
      欧博ABG官网·[中国集团]游戏登录入口

      首先先写一个署理剧本,,,作为起源的数据过滤和名堂化,,,镌汰并标准化发送到n8n举行AI处理的流量(剧本由AI天生)

      欧博ABG官网·[中国集团]游戏登录入口

      然后让AI天生N8N事情流json文件

      欧博ABG官网·[中国集团]游戏登录入口

      导入到N8N平台经由调解之后流程如下

      欧博ABG官网·[中国集团]游戏登录入口

      最后只需在主机上运行一个署理即可,,,N8N的事情流就相当于一个AI AGENT,,,完成了所有的测试事情

      欧博ABG官网·[中国集团]游戏登录入口

      云云以来,,,就对整个检测系统举行相识耦,,,N8N作为检测中枢,,,其中的所有??槎伎梢愿从,,,如流量剖析、、、请求重放、、、去重、、、告警通知等,,,若是想要测试其他误差,,,只需修改AI节点中的提醒词即可,,,从维护和扩展上来说,,,都很是的利便直观。关于测试职员来说,,,不需要知道检测系统怎么启动运行,,,只需要启动一个署理接入即可;;;关于设计职员来说,,,只需要在N8N事情流平台中举行流程设计即可。这样的模式关于集成到CI/CD会更有优势。

      PART.4 总结


      本文仅对水平越权误差的AI全自动化发明流程举行了研究,,,并且并未思量系统通用性、、、性能、、、提醒词设计等因素,,,只是一次实验性的探索。从效果上来说,,,流程上是跑通了可是还没有落地可用,,,但在设计历程中,,,确实感受让AI融入现有流程的效果确实比让AI从零实现一个目的的效果要好得多,,,许多单位内部着实都有了一套清静测试(运营)流程(事情流),,,可以让AI集成到这一流程中,,,既能够真实的节约人力,,,也不至于有很大的学习维护本钱。

      上一条:::每周清静速递??? | ShinyHunters 开发新型勒索软件ShinySp1d3r
      下一条:::每周清静速递??? | Cephalus组织通过RDP安排勒索软件
      欧博ABG官网·[中国集团]游戏登录入口 免费试用
      欧博ABG官网·[中国集团]游戏登录入口 服务热线
      欧博ABG官网·[中国集团]游戏登录入口

      马上咨询

      400-811-3777

      欧博ABG官网·[中国集团]游戏登录入口 回到顶部
      【网站地图】