️ Vulnhuntr:利用大型语言模型(LLM)进行零样本漏洞发现的工具

在网络安全领域,漏洞的发现和修复是保护系统安全的关键。今天,我要向大家介绍一款创新的工具——Vulnhuntr,这是一款利用大型语言模型(LLM)进行零样本漏洞发现的工具,能够自动分析代码,检测远程可利用的安全漏洞。

Vulnhuntr 简介

Vulnhuntr 是世界上首款利用 LLMs 和静态代码分析来识别远程可利用漏洞的工具。它能够自动创建并分析整个代码调用链,从远程用户输入开始,到服务器输出结束,检测出复杂、多步骤、绕过安全防护的漏洞,这些漏洞的复杂性远远超出了传统静态代码分析工具的能力。

漏洞发现

使用 Vulnhuntr,你可以帮助发现漏洞并获得奖励。如果你使用 Vulnhuntr 发现了漏洞,可以向 huntr.com 提交报告以获得奖励,并且可以通过提交 PR 将其添加到下面的列表中。

支持的漏洞类型

Vulnhuntr 目前支持以下类型的漏洞检测:

  • 本地文件包含 (LFI)
  • 任意文件覆盖 (AFO)
  • 远程代码执行 (RCE)
  • 跨站脚本 (XSS)
  • SQL 注入 (SQLI)
  • 服务器端请求伪造 (SSRF)
  • 不安全的直接对象引用 (IDOR)

安装和使用

Vulnhuntr 严格要求使用 Python 3.10,因为它使用了 Jedi 来解析 Python 代码,而 Jedi 在其他版本的 Python 中存在一些 bug。

推荐使用 pipx 或 Docker 来安装和运行 Vulnhuntr。

使用 Docker 安装:

bash

docker build -t vulnhuntr https://github.com/protectai/vulnhuntr.git#main
docker run --rm -e ANTHROPIC_API_KEY=sk-1234 -v /local/path/to/target/repo:/repo vulnhuntr:latest -r /repo -a target-file.py

使用 pipx 安装:

bash

pipx install git+https://github.com/protectai/vulnhuntr.git

或者,你可以直接从源代码使用 poetry 安装:

bash

git clone https://github.com/protectai/vulnhuntr
cd vulnhuntr && poetry install

使用命令行界面:

bash

usage: vulnhuntr.py [-h] -r ROOT [-a ANALYZE] [-l {claude,gpt}] [-v]Analyze a GitHub project for vulnerabilities. Export your ANTHROPIC_API_KEY before running.options:-h, --help            show this help message and exit-r ROOT, --root ROOT  Path to the root directory of the project-a ANALYZE, --analyze ANALYZESpecific path or file within the project to analyze-l {claude,gpt}, --llm {claude,gpt}LLM client to use (default: claude)-v, --verbosity       Increase output verbosity (-v for INFO, -vv for DEBUG)

例如,使用 Claude 分析整个仓库:

bash
python vulnhuntr.py -r /path/to/target/repo/

逻辑流程

Vulnhuntr 的逻辑流程包括:

  1. LLM 总结 README 并将其包含在系统提示中。
  2. LLM 对整个文件进行初步分析,并报告任何潜在的漏洞。
  3. Vulnhuntr 为 LLM 提供针对特定漏洞的提示,进行二次分析。
  4. 每次 LLM 分析代码时,它会从项目的其他文件中请求额外的上下文函数/类/变量。
  5. 它继续这样做,直到完成从用户输入到服务器处理的整个调用链,然后给出最终分析。
  6. 最终分析包括其推理、概念验证漏洞利用和置信度分数。

输出

Vulnhuntr 会生成一个详细的报告,描述分析文件中发现的漏洞。报告包括:

  • 每个文件的初始评估结果。
  • 带有上下文函数和类引用的二次评估结果。
  • 发现的漏洞的置信度分数。
  • 分析过程的日志。
  • 概念验证漏洞利用。

注意事项

使用 Vulnhuntr 时,请注意设置 LLM 提供商的消费限额或密切监控成本,因为这个工具可能会产生高额费用,因为它会尽可能多地将代码放入 LLMs 的上下文窗口中。

我们推荐使用 Claude 作为 LLM。通过测试,我们发现它比 GPT 更有效。

Vulnhuntr 是网络安全领域的一项重大创新,它利用了最新的人工智能技术来提高漏洞检测的效率和准确性。如果你对网络安全感兴趣,不妨试试 Vulnhuntr,它可能会成为你不可或缺的工具之一。🔍💻

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/57042.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SAP-ABAP开发学习-FUNCTION ALV

SAP-ABAP开发学习-FUNCTION ALV

ALV概览 ALV全称SAP List View,是SAP提供的一个强大的数据报表显示工具。ALV实质上是一个屏幕控件对象,它通过程序传递数据内表的方式来显示数据。 实现方式:调用标准函数;优化接口:用户可以实现对字段的排序、筛选及统计等功能。…
阅读更多...
51c嵌入式~IO合集1

51c嵌入式~IO合集1

我自己的原文哦~ https://blog.51cto.com/whaosoft/12383193 一、单片机通信数据接收解析方法 前阵子一朋友使用单片机与某外设进行通信时,外设返回的是一堆格式如下的数据: AA AA 04 80 02 00 02 7B AA AA 04 80 02 00 08 75 AA AA 04 80 02 00 9B E2…
阅读更多...
layaair给图片精灵绘制形状并添加点击事件注意点击的区域不是方块

layaair给图片精灵绘制形状并添加点击事件注意点击的区域不是方块

默认的图片添加进来都是方块,哪怕是圆形的图片,点击也是方块区域如下图,这个圆的上下左右方向角的位置都可点击。 利用sprite的Graphics属性则可以编制线条,圆形等形状。如下图 但是点击的区域还是默认根据sprite的高宽来设定的。…
阅读更多...
vite 创建了一个项目后,如何实现工程化

vite 创建了一个项目后,如何实现工程化

当我们使用 vite 创建了一个项目后&#xff0c;要开发自己的东西。首先要做的就是先将开发文件变成自己的样子。 这是一个刚刚创建项目的文件夹及展示 开始整改文件夹 修改文件 main.ts不需要修改App.vue删除无用的内容 <template><div>app组件</div> &l…
阅读更多...
推荐一款好用的redis管理工具TinyRDM

推荐一款好用的redis管理工具TinyRDM

简述 对于经常要操作redis的人员来说&#xff0c;一款好用开源的redis可视化管理工具可以事半功倍&#xff0c;今天要介绍的TinyRDM就是这样的工具&#xff0c;支持多端&#xff08;MAC/Window/Linux&#xff09;&#xff0c;并且是开源的。 github地址&#xff1a;https://git…
阅读更多...
CSPM(项目管理专业人员评价)证书还不如PMP?垃圾证书……

CSPM(项目管理专业人员评价)证书还不如PMP?垃圾证书……

一、什么是CSPM CSPM&#xff08;China Standards Project Management&#xff09;是指依据中国标准开展的项目管理专业人员能力评价。它是由中国标准化协会&#xff08;全国项目管理标准化技术委员会秘书处&#xff09;设立&#xff0c;运用已发布的项目管理国家标准&#xf…
阅读更多...
平衡相图在资源可持续利用方向的应用

平衡相图在资源可持续利用方向的应用

平衡相图是描述物质在特定温度、压力和组成条件下达到相平衡状态的图表。在环境科学中&#xff0c;平衡相图可以用于预测和解释自然环境中物质的分布、迁移和转化过程&#xff0c;对于资源的可持续利用和环境污染的防治具有重要意义。 平衡相图在资源的可持续利用方向的应用主…
阅读更多...
【YOLOv11[基础]】目标对象模糊处理

【YOLOv11[基础]】目标对象模糊处理

目录 一 安装YOLOv11 二 实践 使用Ultralytics YOLO11进行目标对象模糊处理,包括对图像或视频中特定检测到的对象应用模糊效果。这可以使用YOLO11模型功能来识别和操作给定场景中的对象。 目标对象模糊处理的优点: 隐私保护
阅读更多...
Day16-非关系型数据库服务-redis

Day16-非关系型数据库服务-redis

Day16-非关系型数据库服务-redis 1、非关系型数据库服务Redis1.1 Redis服务概述介绍1.1.1 缓存服务介绍1.1.2 缓存服务产品介绍1.1.3 缓存服务应用场景 1.2 Redis服务安装部署1.2.1 缓存服务安装部署 1.3 Redis服务基础管理操作1.3.1 缓存服务配置文件介绍1.3.2 缓存服务安全配…
阅读更多...
如何对pdf文件进行加密?pdf文件加密全攻略与深度解析(5个方法)

如何对pdf文件进行加密?pdf文件加密全攻略与深度解析(5个方法)

如何对pdf文件进行加密&#xff1f; 只见&#xff0c;在深夜的情报局里&#xff0c;特工小李将一份绝密PDF文件放在保险箱内&#xff0c;以为这样就天衣无缝了。 细细推敲&#xff0c;漏洞百出&#xff1a; 如果钥匙被盗呢&#xff1f;如果被神匠破解出密码呢&#xff1f;如果…
阅读更多...
解析MES管理系统在企业中的应用策略

解析MES管理系统在企业中的应用策略

在智能制造浪潮汹涌的今天&#xff0c;MES管理系统成为了连接生产现场与管理决策层的关键桥梁&#xff0c;其重要性在企业的智能化转型中愈发凸显。面对智能制造时代的新挑战&#xff0c;如何充分利用MES管理系统的优势&#xff0c;实现生产流程的智能、高效与透明&#xff0c;…
阅读更多...
Pytest中autouse参数的用法

Pytest中autouse参数的用法

引言 在Pytest中&#xff0c;Fixture是一种非常有用的功能&#xff0c;它允许我们在测试前后进行一些设置和清理工作。通常&#xff0c;我们会在测试函数中显式地声明需要使用的Fixture。然而&#xff0c;有时候我们希望某些Fixture在所有测试中自动应用&#xff0c;而不需要在…
阅读更多...
循序渐进丨openGauss / MogDB 数据库内存占用相关SQL

循序渐进丨openGauss / MogDB 数据库内存占用相关SQL

一、内存总体分布 数据库总体内存使用分布 select * from gs_total_memory_detail; 当dynamic_used_memory大于max_dynamic_memory就会报内存不足&#xff1b;如果此时dynamic_used_memory小于max_dynamic_memory&#xff0c;而dynamic_peak_memory大于max_dynamic_memory表…
阅读更多...
机房巡检机器人有哪些功能和作用

机房巡检机器人有哪些功能和作用

随着数据量的爆炸式增长和业务的不断拓展&#xff0c;数据中心面临诸多挑战。一方面&#xff0c;设备数量庞大且复杂&#xff0c;数据中心内服务器、存储设备、网络设备等遍布&#xff0c;这些设备需时刻保持良好运行状态&#xff0c;因为任何一个环节出现问题都可能带来严重后…
阅读更多...
2024护理类科技核心期刊汇总(最新版)

2024护理类科技核心期刊汇总(最新版)

2024年9月中国科技核心期刊目录&#xff08;2024年版&#xff09;正式公布&#xff0c;13本护理类期刊入选。常笑医学整理了这13本护理类科技核心期刊的详细参数&#xff0c;以及投稿经验&#xff0c;供大家在论文投稿时参考&#xff0c;有需要的赶紧收藏&#xff01; 1.《中华…
阅读更多...
基于Springboot+Vue的物流系统 (含源码数据库)

基于Springboot+Vue的物流系统 (含源码数据库)

1.开发环境 开发系统:Windows10/11 架构模式:MVC/前后端分离 JDK版本: Java JDK1.8 开发工具:IDEA 数据库版本: mysql5.7或8.0 数据库可视化工具: navicat 服务器: SpringBoot自带 apache tomcat 主要技术: Java,Springboot,mybatis,mysql,vue 2.视频演示地址 3.功能 该系统…
阅读更多...
AI创作者与人类创作者的协作模式

AI创作者与人类创作者的协作模式

公主请阅 1. AI创作者的崛起1.1 AI创作者的工作原理1.2 AI创作者的优势 2. 人类创作者的独特价值2.1 创造性与情感2.2 伦理与价值观2.3 文化与背景 3. AI与人类的协作模式3.1 协同创作3.2 内容编辑3.3 数据驱动的创作3.4 跨媒体协作 4. AI与人类协作的挑战4.1 技术局限性4.2 版…
阅读更多...
模型体素化

模型体素化

背景: 在三维模型深度处理的时候,有时候需要对模型进行区域划分.并赋予一定的材质,力学等属性,所以,需要对模型进行划分. 目前的模型体素化的方式基本分为cpu,gpu,都是投影射线法进行的, 在调研了一些已知的开源算法和项目,并测试后发现,大部分的开源项目也都是基于抽壳进行的…
阅读更多...
Android 应用申请 Google MBA权限

Android 应用申请 Google MBA权限

Google Case链接&#xff1a;89 > 34810 > 30025 > 155353 > Handheld > MBA Policies 按照指引填写模板 This bug is for the approval of MBAs under [13.2.2 Pregrant permissions policy](https://docs.partner.android.com/gms/policies/domains/mba#mba-…
阅读更多...
练习LabVIEW第二十二题

练习LabVIEW第二十二题

学习目标&#xff1a; 刚学了LabVIEW&#xff0c;在网上找了些题&#xff0c;练习一下LabVIEW&#xff0c;有不对不好不足的地方欢迎指正&#xff01; 第二十二题&#xff1a; 前面板上放一个压力表&#xff0c;指针位置在0-255之间随机变化&#xff0c;指针颜色同时发生变化…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023