Daily Study
更新: 12/26/2025 字数: 0 字 时长: 0 分钟
Daily Plan
#todo
- [ ]
任务驱动的Web应用自动化渗透测试智能体
主要分为三个阶段进行渗透测试:资产探测->攻击模拟->报告生成,解决的痛点如下:
- 在资产探测过程中,传统工具(例如漏扫)一般采用静态链接的遍历,针对现在复杂的单页Web应用,无法达到深层交互状态
- 在攻击模拟过程中,传统工具依赖静态规则库,生成Payload进行漏洞探测,容易被防护规则或者WAF拦截
具体实现了:
- 资产探测:主要集成了端口扫描、目录/子域名发现等工具对渗透目标进行信息搜集
- 任务驱动的攻击模拟:LLM会根据Web页面的DOM元素和上下文信息,生成相关的渗透任务,然后会渗透任务的指导下,会生成一系列动作,达到最终攻击模拟的目标。这里不仅包括了主动扫描工具的调用,还包括被动扫描的分析和驱动。
- 报告生成阶段:漏洞汇总与分类、风险等级评估、修复建议生成
我主要实现的是其中攻击模拟阶段,具体来说是一个任务驱动的Web漏洞扫描器
~~