序文
とともにAIそして自然言語処理技術の絶え間ない発展。AI セキュリティ・テストの分野では、GPT(Generative Pre-Training Models)がますます注目されています。これらのツールは、AIの力を活用して、テストケースを自動的に生成し、セキュリティの脆弱性を特定し、システムのセキュリティを評価します。この論文では、AIとGPTに基づくセキュリティテストツールの概念とアプリケーションを紹介します。サイバーセキュリティの重要性である。
AIとGPTベースのセキュリティ・テスト・ツールは、ソフトウェア開発とサイバー・セキュリティにおいて幅広い用途があります。開発チームが潜在的なセキュリティの脆弱性を特定し、システムのセキュリティを評価し、改善のための提案を提供するのに役立ちます。ここでは、一般的なアプリケーション・シナリオをいくつか紹介します:自動テストセキュリティ脆弱性の特定、セキュリティパッチの自動化、異常検知、セキュリティ導入のためのAIモデル。
BurpGPT
Burp SuiteエクステンションはOpenAIのGPTを統合し、高度にカスタマイズされた脆弱性を発見するために追加のパッシブスキャンを実行し、あらゆるタイプのトラフィックベースの分析の実行をサポートします。
プロジェクトアドレス:https://github.com/aress31/burpgpt
"
burpgptは、従来のスキャナが見逃してしまうようなセキュリティの脆弱性を検出するために、AIの力を活用します。ユーザーが指定したOpenAIモデルにネットワークトラフィックを送信し、パッシブスキャナーで高度な分析を可能にします。この拡張機能は、各ユーザーの特定のニーズに合わせてカスタマイズ可能なプロンプトを提供します。サンプル使用例のセクションをチェックして、インスピレーションを得てください。
"
この拡張機能は、ユーザーからのプロンプトとBurpによるリクエストのリアルタイムデータに基づいて、潜在的なセキュリティ問題を要約した自動セキュリティレポートを生成します。AIと自然言語処理を活用することで、この拡張機能はセキュリティ評価プロセスを簡素化し、セキュリティ専門家にスキャンされたアプリケーションやエンドポイントの上位レベルの概要を提供します。これにより、潜在的なセキュリティ問題をより簡単に特定し、優先順位を付けて分析することが可能になると同時に、より広い潜在的な攻撃対象領域をカバーすることができます。
"
「インストール
"
git clone https://github.com/aress31/burpgpt プロジェクトをローカルにクローンする
gradle shadowJarはlib/build/libs/ディレクトリにあるjarファイルをコンパイルします。
次に burpsuite を開き、Extensions add を使ってディレクトリアドレスを選択してプラグインを追加します。
オーケー
"
「使用方法
"
burpsuiteツールバーの中に新しいBurpgptフィールドが表示されるので、「Set API」→「Model」→「Set Field Length」→「Set Custom Prompts」をクリックする。
プロキシ履歴の中か、リクエストを右クリックしてDo passive scanをクリックすると、自動的にBurpgptを使ってスキャンされたリクエストのセキュリティ脆弱性を検出し、レポートが自動的に生成されます。
gptの分析モデルは、リクエストとレスポンスの脆弱性分析を自動化するために自動的に呼び出される。
"
"テスト"
"
地元のDvwaレンジがテスト用に設置された。
Burpgptを使ってgptを呼び出し、範囲内の各リクエストに対して自動パッシブスキャンを行う。脆弱性分析レポートは自動的に作成されます。
"
要約
"
burpsuiteのように、プロフェッショナル版は有料なので、自分でテストしたり、議論したりすることができる。
参照する
https://github.com/aress31/burpgpt
https://burpgpt.app/
元記事はbatsomによるもの。転載の際は、https://www.cncso.com/jp/brupsute-linked-chatgpt-automated-vulnerability-analysis.html。
