YuraScanner：AI驅動的網頁應用安全檢測新利器

一款名為YuraScanner的全新自動化網頁應用掃描工具，能夠自主理解並執行網頁應用中的任務與工作流程。這款工具利用大型語言模型（LLMs）中的世界知識，以類似人類使用者的方式瀏覽網頁應用。它能夠以連貫的方式完成任務，例如線上商店中所需的步驟序列。

YuraScanner在測試中對20個網頁應用進行了檢測，發現了12個零日跨站指令碼（XSS）漏洞。這項技術及其工具本身由CISPA亥姆霍茲資訊保安中心開發。自動化網頁應用掃描器通常用於測試線上應用的安全性，例如線上商店、學習平臺或專案管理工具。這些掃描器通常由兩部分組成：爬蟲元件，用於掃描網頁應用的使用者介面；以及攻擊模組，用於測試爬蟲識別的介面。

CISPA研究員Aleksei Stafeev強調了爬蟲元件在自動化測試中的重要性：「安全測試的主要挑戰之一是確定網頁應用的範圍並識別其功能和工作流程。我們非常瞭解如何檢測安全問題，但如何識別所有入口點？」Stafeev及其CISPA同事開發YuraScanner的目的正是為了盡可能多地識別攻擊面。

YuraScanner的主要創新在於透過利用LLM來增強掃描器爬蟲元件的範圍和效能。「LLM經過了網頁資料的訓練，這些資料豐富地記錄瞭如何與網站互動。我們透過結合爬蟲和LLM來引導網頁應用的探索，」Stafeev解釋道。

在研究中，Stafeev及其同事使用OpenAI API建立了爬蟲元件與OpenAI模型GPT-4之間的連線。YuraScanner的攻擊模組與Black Widow（一款現有的頂尖XSS掃描器）相同。這種平行設定使得CISPA研究員能夠直接比較兩個爬蟲元件的效能。在對20個網頁應用的測試中，YuraScanner成功檢測到12個先前未知的XSS漏洞，而Black Widow僅檢測到3個。

在LLM的引導下，YuraScanner以任務驅動的方式執行，使其能夠訪問被測試網頁應用的更深層次。它不僅能夠識別網頁應用提供的任務，還能夠以有目的的方式執行這些任務，完成所需的步驟序列。它垂直進行，而其他現有的掃描器則傾向於水平進行。

Stafeev進一步解釋：「通常，測試工具不會區分不同型別的按鈕，它們只是點選任何可用的按鈕。這種方法的主要缺點是，如果存在一些非常具體的多步驟工作流程，例如線上商店中，您需要將商品放入購物車，進行結賬並填寫表格——簡單的網頁爬蟲成功完成這些步驟的機會非常渺茫。」