近日对Ai代码审计的方向很感兴趣,看到有些公众号发了类似AI审计的个人项目,我也马上git了下想学习下,因为对于如何利用AI合理化输出审计内容是一个难点,并且现代化审计基本需要跨多文件的逻辑分析。
首先声明这不是一个批评文章,因为其工具开源且不盈利,且给我了一些启发思路,为了避免明指是何项目引发误会,我接入了其审计的代码,保留了核心功能,在此界面上进行了二次创造进行评测,帮助很多感兴趣的师傅们介绍下。
核心通过接入对应APi接口,发包单个文件代码内容获得回复,未找到漏洞payload即跳过,否则记录以固定格式输出。
再实测一个cms花了大概5小时,审计的结果就离谱起来了,基本乱报的,一方面和ai性能有关系,另一方面本身代码逻辑就是对文件都只是单个读取。哪怕能审查到有效漏洞,但爆出的漏洞数达百个根本没心思去检测。
当然抛开使用来说,如果是作为形式交差工具是无所谓的,这个除了界面看起来好看点,我个人觉得毫无作用,拿去当学生作品还能糊弄下(拿去毕设二开好像也说的过去)。不过整理到这,索性我将其添加一些略微实用的功能让项目看起来丰富一点,给有需要的人自己玩玩。
以上是这个测评内容,虽然工具本身效果不行,但我却受到一些启发,这也是我本篇文章的将要写的核心内容。
对于我来说,开始的入门就是成为脚本小子开始,接触各个类型的工具,尤其是打ctf,还有攻防时需要的一些工具。开箱即用的工具让我们省力很多,但同时随着深入使用,对着这些工具有着更多了解。我自己将其分为使用需求直接产生的工匠型和间接产生的创造型工具,创造型的工具制作门槛是很高的,往往由一个领域顶尖的一批人所产出,其效果也很好,而更多我们接触的其实是工匠型工具,它没利用到特别复杂的技术,而是应自身需求制作去繁琐化的应用。
而我所想表述的即是,工具并不是要高精尖人才才能创造,我们将一些低劳动力的消耗进行脚本化,如果这个需求被大众所认可,那它无疑会受到赞同。
当然不是,如果这是应你自身需求而制作的,解决了你的一个问题,那它对你来说就是一个好工具,大众不需要但你需要,换个思维这就是个性化定制,对你来说这样,对于客户来说也是。
举个例子,前段时间我自己开发了一个一键黑屏软件,很多师傅认为与win+L相同,属于重复造轮子,但我其实是想省去让黑屏不休眠和笔记本合上黑屏休眠来回设置的活动,也许别人觉得多此一举,但对于我自身解决了一个小问题(尽管在符合大众需求上有些失败)。
当然其本质是被需要,那么上面这个华而不实的Ai审计工具有何作用?在某种层次上它让我意识到一个问题,为什么这个工具低效却受追捧,因其较为黑客风的界面无疑是一个吸引选项。结合之前失败的BlackAny,我想到了将其便捷性以及使用大量工具想要唤出时的需求同时保证比较有特殊的界面制作一个可以自定义添加的存储箱,这样唤出工具就和电影里一样,而不是打开文件夹然后挨个找。
在此说明,quicker还有一些类似工具都有这种功能,有点重复造轮子,但对于有着求异心理的我肯定希望充满自身风格所以我就写了这个工具。
一个自制的小工具就完成了,当然它的完整性并不是很出色,但我们可以根据自己的需求去完善,包括变换颜色和样式满足个性化。
如果没有合适的目标工具,可以拿这个去二开下或者尝试分析下,结构还是比较简单的。
遵循“发现真实需求 → 做出能用的雏形 → 倾听使用者的意见 → 逐步升级改进”这样的逻辑
就如同滚雪球一般,工具会在不断优化中变得越来越强大。就拿 Notion 笔记软件来说,它最初不过是一个普通的记事本,经过不断发展,如今甚至能当作数据库使用。说不定你现在随手制作的小工具,未来也会成为改变很多人工作方式的神器
对于新手而言,该如何开启工具制作之旅呢?我的建议是,先明确自己的一项具体需求。确定需求后,在脑海中构思出工具大致的模样。这时,你可以在网络上搜索相关的类似工具,仔细观察它们的界面设计,亲自上手体验一番,从中汲取灵感。要是觉得自己动手有难度,也可以借助 AI 的力量,让它帮你搭建一个基础的架构,然后在此基础上进行修改和完善。
打个比方,你可以直接跟 AI 说:“你是一个网络安全爱好者,想要制作一款工具,用 Python 给我做个带文件选择按钮的窗口,要深蓝色背景,按钮做成手机 APP 那种扁平风格。”
如果你对代码不太熟悉,也不用着急。可以先对架构代码进行审计和了解,这样后续进行修改时就会得心应手。看到这里,你可能还是有些一头雾水,但只要勇敢地迈出第一步,开始尝试制作,就会惊喜地发现,做一个小小的工具并非难事。毕竟,一款优秀的工具是技术与需求的完美结合。我们要善于发现需求,再一步步提升自己的技术能力。现在,AI 或许还无法实现特别复杂的功能,但对于初学者制作工具来说,已经足够提供基础的帮助了。当你学会了基础的界面设计和功能结构制作,就意味着你已经成功走出了制作工具的第一步.
当你完成第一个自制工具的原型时,就像木匠打造出第一把椅子——虽然榫卯结构还不够精密,但已具备基本功能。这个阶段不必苛求完美,真正重要的是你已成功搭建起技术实现的脚手架.
以上就是本次全部内容,写到最后感觉很多废话,不过还是希望能对你有一点点的帮助(没有就忽略吧)。
原文始发于微信公众号(Licharsec):如何制作自己的第一款网安小工具
评论