XBOW, w pełni autonomiczny AI pentester, osiągnął po raz pierwszy w historii miejsce nr 1 na amerykańskiej liście HackerOne.
Prace rozpoczęto od dwustopniowego benchmarkingu: testów CTF, a następnie własnego zestawu symulacji realnych scenariuszy.
Następnie skupiono się na wykrywaniu zero-day w projektach open source, a później na realnych, czarnoskrzynkowych środowiskach poprzez programy bug bounty.
Stworzono infrastrukturę do strategicznego wyboru celów: parsowanie zakresów programów, system punktacji, deduplikacja domen za pomocą SimHash i imagehash.
Wprowadzono mechanizm walidatorów automatycznych do weryfikacji odkrytych podatności i minimalizacji fałszywych alarmów.
XBOW zgłosił 1060 w pełni zautomatyzowanych podatności; do tej pory 130 rozwiązano, 303 sklasyfikowano jako triaged, 33 są nowe, 125 oczekuje na weryfikację.
Zgłoszenia obejmowały m.in. RCE, SQL Injection, XXE, SSRF, XSS, Path Traversal oraz wycieki sekretów.
W ciągu ostatnich 90 dni zgłoszono 54 krytyczne, 242 wysokie, 524 średnie i 65 niskie podatności.
Jednym z przełomowych odkryć była luka w Palo Alto GlobalProtect VPN, wpływająca na ponad 2000 hostów.
Zespół planuje serię wpisów technicznych przedstawiających najciekawsze odkrycia XBOW.
Get notified when new stories are published for "🇵🇱 Hacker News Polski"