如何使用大型语言模型（LLMs）自动检测BOLA漏洞

文章预览

本文介绍了对一种名为 BOLABuster 的方法所进行的研究，该方法使用大型语言模型 (LLM) 来检测对象级授权损坏（BOLA）漏洞。通过大规模自动化 BOLA 检测，我们将在识别开源项目中的这些漏洞方面取得令人鼓舞的结果。 BOLA 是现代 API 和 Web 应用程序中广泛存在且可能非常严重的漏洞。虽然手动利用 BOLA 漏洞通常很简单，但自动识别新的 BOLA 却很困难，原因如下： 1、应用程序逻辑的复杂性； 2、输入参数的多样性； 3、现代 Web 应用程序的状态特性； 由于这些原因，模糊测试和静态分析等传统方法无法有效检测 BOLA，因此手动检测成为标准方法。 为了应对这些挑战，我们利用 LLM 的推理和生成功能来自动执行传统上手动完成的任务。这些任务包括： 1、了解应用程序逻辑； 2、识别端点依赖关系； 3、生成测试用例并解释测试结果； 通过将 LLM 与启发式 ………………………………