KI-basierter Scanner sichert Webanwendungen
Der KI-basierte YuraScanner nutzt das Weltwissen großer Sprachmodelle. So navigiert er selbstständig durch Webanwendungen, erkennt Tasks und führt sie aus. In Tests mit 20 Anwendungen entdeckte er zwölf unbekannte Cross-Site-Scripting-Schwachstellen. Entwickelt wurde er vom CISPA Helmholtz-Zentrum für Informationssicherheit.
Automatisierte Scanner testen die Sicherheit von Online-Anwendungen wie Shops, Lernplattformen oder Projektmanagement-Tools. Sie bestehen aus zwei Teilen: Ein Crawler durchforstet die Anwendung nach Eingabefeldern, und ein Angriffsmodul prüft diese auf Sicherheitslücken. Eine große Herausforderung ist es, alle relevanten Bereiche einer Anwendung zu identifizieren. „Wir wissen, wie wir Sicherheitsprobleme erkennen, aber wie finden wir alle Eingangspunkte?“, erklärt CISPA-Forscher Aleksei Stafeev. Sein Team hat YuraScanner entwickelt, um möglichst viele Angriffsflächen aufzudecken.
YuraScanner nutzt Wissen und Künstliche Intelligenz aus ChatGPT
Das Besondere an YuraScanner ist, dass sein Crawler mit einem großen Sprachmodell (LLM) verbunden ist. „LLMs kennen viele typische Abläufe in Webanwendungen aus Online-Dokumentationen. Diese Information nutzen wir, um den Crawler intelligenter zu steuern“, sagt Stafeev. Die Forscher haben GPT-4 von OpenAI eingebunden, um die Erkundung zu verbessern. Das parallel dazu im Scanner eingesetzte Angriffsmodul basiert auf Black Widow, einem bewährten Scanner für Cross-Site-Scripting (XSS). In Tests mit 20 Webanwendungen entdeckte YuraScanner zwölf bisher unbekannte XSS-Schwachstellen, während Black Widow nur drei fand.
Tiefere Analyse dank Task-orientierter Navigation
YuraScanner kann sich gezielt durch Webanwendungen bewegen und komplexe Abläufe korrekt ausführen. „Normale Scanner klicken blind auf alle Buttons. Doch in einem Online-Shop müssen Produkte erst in den Warenkorb gelegt, eine Kasse aufgerufen und Formulare ausgefüllt werden. Ein herkömmlicher Crawler scheitert daran“, erklärt Stafeev. YuraScanner hingegen versteht diese Abläufe und führt sie aus. Die Forschungsergebnisse werden auf dem Network and Distributed System Security Symposium (NDSS) 2025 präsentiert, das noch bis Ende Februar in San Diego stattfindet.
Wissenschaftliche Veröffentlichung:
Aleksei Stafeev, Tim Recktenwald, Gianluca De Stefano, Soheil Khodayari und Giancarlo Pellegrino (2024). YuraScanner: Leveraging LLMs for Task-driven Web App Scanning.
In der aktuellen Folge des “CISPA TL;DR”-Podcasts geht es ebenfalls um YuraScanner.
