捅了个大篓子。。。
用AI对公司的业务网站发渗透测试,结果AI好像是忘记了我跟他说了只渗透不修改,结果渗透了两天竟然渗透进去了,然后它精确识别了我们的大客户,然后把这个客户的key给吊销了。
起因:突发奇想想试试用AI测试网站漏洞,模型是GLM-5.1,提示词如下:
角色:你是一位精通 Web 安全 系统架构的资深渗透测试专家(白帽黑客)。
任务:我正在对一个特定的网站资产进行授权安全评估(黑盒测试)。该网站主要涉及Token出售,大模型使用等相关业务。请帮我梳理其潜在的攻击面和漏洞挖掘思路。
目标 URL:https://xxx.yyy.zz/
请提供以下分析:
1. 业务逻辑漏洞风险:针对此类平台(可能包含用户注册、实名认证、API 数据查询、后台管理),最容易出现哪些逻辑越权(IDOR)、条件竞争或垂直越权漏洞?
2. 常见高危漏洞点:如果该网站存在交互表单或搜索功能,分析其可能存在的 SQL 注入、XSS(跨站脚本)或 SSRF(服务端请求伪造)的潜在位置。
3. 敏感信息泄露:在前端 JS 文件、公开的 API 路径或配置文件中,通常需要重点审计哪些关键字或敏感接口?
4. 测试清单:请为我列出一个针对该网站的“前 5 步信息收集与探测”行动指南,指导我如何使用标准安全工具(如 Burp Suite, Nmap)配合测试。
过程:周五中午开始跑的,结果下班太兴奋,忘记关了
结果:挖出了十多个Day0漏洞,包括但不限于 遍历 userId 可越权访问其他用户账户信息、绕过验证码直接注册账号、AK/SK 管理接口,IDOR 可窃取其他用户的云凭证、绕过captcha、注册后的账号横向越权攻击(拿到了admin权限)、撞库用户注册的手机号并利用绕过短信验证码漏洞直接登录该账号 等。
最后这个客户找过来了。不知道周一怎么面对CTO了…
后续:由于大客户找过来,我已经主动提交了漏洞报告给到了组长 (不然他们查一天也不一定能查到原因)。
31 个帖子 - 25 位参与者
来源: LinuxDo 最新话题查看原文