白盒+LLM漏洞挖掘的探索与实践 .docxVIP

白盒+LLM漏洞挖掘的探索与实践

苏忠富字节跳动无恒实验室安全工程师

苏忠富无恒实验室安全工程师

23年加入字节跳动白盒团队，专注于白盒扫描引擎能力建设和大模型赋能白盒静态分析进行漏洞挖掘的相关工作。

EmpowerSecurityEnrichlife

目录

1|逻辑漏洞现状

2|逻辑漏洞白盒自动化检测的困境

3|大模型挖洞，靠谱吗？

4|项目经验分享

EmpowerSecurityEnrichlife

逻辑漏洞现状

EmpowerSecurityEnrichlife

背景和现状

漏洞类型 具体 比例 OWASPTop10逻辑漏洞 越权60%

未授权权限绕过其他

传统漏洞 SQL注入等 20%

其他 20%

逻辑漏洞逐渐成为企业需要花费最多人力解决的漏洞问题

EmpowerSecurityEnrichlife

背景和现状

常见的逻辑漏洞类型：

1.越权

2.未授权

3.权限绕过

4.业务流程逻辑漏洞5.。。。

目前这些漏洞，都主要是通过人工挖掘+工具规则实现的

EmpowerSecurityEnrichlife

逻辑漏洞白盒自动化检测的困境

EmpowerSecurityEnrichlife

白盒自动化逻辑漏洞检测方案传统白盒识别水平越权漏洞方案

需要满足以下3个条件1.敏感操作接口

?增删查改敏感数据

?非查询公开资源如天气、新闻、公开短视频

?非工具类接口如登录、汇率转换

2.存在越权逻辑

?存在利用用户可控资源标识符操作非本人资源的行为

3.无鉴权逻辑

?无垂直鉴权

?无水平资源鉴权

EmpowerSecurityEnrichlife

白盒自动化逻辑漏洞检测方案

传统白盒识别水平越权漏洞方案

1.敏感操作接口规则匹配req_path路径、人工打标识别公开接口

2.存在越权逻辑规则识别漏洞场景+可控资源id的数据流分析+不可控权限id的数据分析

3.无鉴权逻辑二方组件鉴权+鉴权函数识别规则

EmpowerSecurityEnrichlife

白盒自动化逻辑漏洞检测困境

困境

1.不是真正理解代码语义，规则能力有限规则无法穷尽所有，准召率都有限。只能通过静态规则框定一部分的case。

2.维护规则压力大，优化空间有限逻辑漏洞依据逻辑场景（代码语义）区分，而同一逻辑场景的代码写法多种多样，形成规则费时且难度大，且无法泛化，经常徒劳浪费人力。

EmpowerSecurityEnrichlife

白盒自动化逻辑漏洞检测困境

CaseStudy： rule:.*(code|sms|message|messages|email).*(send|verify|check).*

1.公开接口case

/xxxx/mobile/signed_off/send_verify_code//xxxx/ml/verification_code/get//xxxx/common/index/isvalidcode/xxxx/certification/flow/person3/{urlCode}/xxxx/public/pay/api/v2/login//xxxx/mobile/smsVerify/checkCode/xxxx/api/shopLead/verfiyCode/send/xxxx/coupon/api/captcha/send/xxxx/v2/message/sms/check_verify_code/xxxx/api/templates/recommend/send-short-msg/xxxx/tower/check_verify_code

...

类似左边的未识别的`发送验证码`场景的公开接口，我们还发现了200多个。

EmpowerSecurityEnrichlife

白盒自动化逻辑漏洞检测困境

CaseStudy：

2.鉴权未识别case

传统静态分析，判断接口是否存在鉴权，无非以下两种办法

?要求研发编码规范，使用统一组件校验权限?关键字、AST规则匹配

EmpowerSecurityEnrichlife

白盒自动化逻辑漏洞检测困境

CaseStudy：

3.漏洞sink未识别case

ormcase

kafkacase

可越权代码场景太多了。。。

mongocase

rpccase

EmpowerSecurityEnrichlife

大模型挖洞，靠谱吗？

EmpowerSecurityEnrichlife

大模型能挖什么漏洞？

LLMsCannotReliablyId