基于大模型的深层 Web 越权漏洞检测方法
所屬分類:技术论文
上傳者:wwei
文檔大小:1004 K
標(biāo)簽: Web 漏洞 漏洞检测 越权漏洞
所需積分:0分積分不夠怎么辦?
文檔介紹:越权漏洞检测和挖掘是传统 Web 应用安全的一项重要课题 , 越权漏洞以其覆盖面广 、隐藏深 、没有固 定流量特征等特点 , 一直是 Web 应用漏洞治理中的难点 。 目前业内常见的Web 越权漏洞挖掘方法以被动式检测 插件配合人工手工挖掘为主 , 被动式检测插件的原理多为替换为高权限/同权限的账号凭据 , 然后以返回流量包 长度大小为漏洞是否存在的判断依据 。此种方式虽然可以节省部分人工测试成本 , 但是只能检测浅层的越权漏 洞 , 对于参数级的越权漏洞还是需要依赖人工手工测试 。基于大模型技术 , 提出一种被动式深层 Web 越权漏洞 检测方法 , 旨在通过大模型自动识别参数名含义和参数值特征 , 动态生成测试参数发包 , 并以返回流量包长度 大小 、具体内容等多个维度为漏洞判断依据 。经测试 , 该方法可以挖掘出更深层次的越权漏洞 , 并有效节约人 工手动挖掘成本。
現(xiàn)在下載
VIP會員,AET專家下載不扣分;重復(fù)下載不扣分,本人上傳資源不扣分。