Розмір шрифта:
АВТОМАТИЗОВАНЕ ВИЯВЛЕННЯ ТА АНАЛІЗ ІН'ЄКЦІЙНИХ ВРАЗЛИВОСТЕЙ ВЕБЗАСТОСУНКІВ ІЗ ВИКОРИСТАННЯМ ВЕЛИКИХ МОВНИХ МОДЕЛЕЙ
Остання редакція: 2026-05-20
Анотація
У роботі представлено результати розробки вебплатформи «Red Defence» для автоматизованого виявлення ін'єкційних вразливостей вебзастосунків. Розроблено комплексну систему динамічного тестування безпеки (DAST), що реалізує гібридні алгоритми сканування для виявлення вразливостей класу SQL Injection, XSS та Command Injection. Як ключовий елемент наукової новизни запропоновано архітектуру підсистеми інтелектуального аналізу на основі великих мовних моделей (LLM), яка забезпечує автоматизовану оцінку критичності виявлених дефектів та генерацію рекомендацій з їх усунення. Тестування на спеціалізованому вразливому стенді підтвердило ефективність розроблених засобів із нульовим рівнем хибних спрацювань.
Ключові слова
кібербезпека; тестування на проникнення; DAST; SQL Injection; XSS; Command Injection; великі мовні моделі; LLM; сканер вразливостей; інформаційна безпека;cybersecurity; penetration testing; large language models;vulnerability scanner; information security
Посилання
1. OWASP Top 10. The Open Worldwide Application Security Project (OWASP). URL: https://owasp.org/Top10/ (дата звернення: 09.04.2026).
2. Burp Suite Professional Features. PortSwigger. URL: https://portswigger.net/burp/pro/features (дата звернення: 13.05.2026).
3. OWASP ZAP Getting Started. URL: https://www.zaproxy.org/getting-started/ (дата звернення: 13.05.2026).
4. Sqlmap: automatic SQL injection and database takeover tool. URL: https://sqlmap.org/ (дата звернення: 13.05.2026).
5. Білоус А. І., Салієва О. В. Порівняльний аналіз алгоритмів автоматизованого виявлення ін'єкційних вразливостей у сучасних вебзастосунках. Матеріали LV науково-технічної конференції підрозділів Вінницького національного технічного університету. URL: https://conferences.vntu.edu.ua/index.php/all-fm/all-fm-2026/paper/view/28700/23605 (дата звернення: 14.05.2026).
6. OWASP GenAI Security Project - Solutions Reference Guide Q2_Q3'25. OWASP Gen AI Security Project. URL: https://genai.owasp.org/resource/owasp-genai-security-project-solutions-reference-guide-q2_q325/ (дата звернення: 14.05.2026).
2. Burp Suite Professional Features. PortSwigger. URL: https://portswigger.net/burp/pro/features (дата звернення: 13.05.2026).
3. OWASP ZAP Getting Started. URL: https://www.zaproxy.org/getting-started/ (дата звернення: 13.05.2026).
4. Sqlmap: automatic SQL injection and database takeover tool. URL: https://sqlmap.org/ (дата звернення: 13.05.2026).
5. Білоус А. І., Салієва О. В. Порівняльний аналіз алгоритмів автоматизованого виявлення ін'єкційних вразливостей у сучасних вебзастосунках. Матеріали LV науково-технічної конференції підрозділів Вінницького національного технічного університету. URL: https://conferences.vntu.edu.ua/index.php/all-fm/all-fm-2026/paper/view/28700/23605 (дата звернення: 14.05.2026).
6. OWASP GenAI Security Project - Solutions Reference Guide Q2_Q3'25. OWASP Gen AI Security Project. URL: https://genai.owasp.org/resource/owasp-genai-security-project-solutions-reference-guide-q2_q325/ (дата звернення: 14.05.2026).
Повний текст:
PDF