Home / Sharenewshort / 🤖 XBOW – Tự Động Hóa Kiểm Thử Bảo Mật Web Với Trí Tuệ Nhân Tạo

🤖 XBOW – Tự Động Hóa Kiểm Thử Bảo Mật Web Với Trí Tuệ Nhân Tạo

6 Tháng 6, 2025 9:45 chiều

🚀 Giới Thiệu

XBOW là một công cụ kiểm thử bảo mật web tự động hóa, sử dụng trí tuệ nhân tạo để phát hiện và khai thác lỗ hổng mà không cần sự can thiệp của con người. Với khả năng giải quyết 75% các bài kiểm tra bảo mật web chuẩn, XBOW đang định hình lại cách tiếp cận kiểm thử bảo mật.

📊 Hiệu Suất Ấn Tượng

Benchmark	Số Bài Giải Quyết	Tỷ Lệ Thành Công
PortSwigger Labs	195 / 261	75%
PentesterLab Exercises	204 / 282	72%
Novel Benchmarks	88 / 104	85%

🧠 Cách Hoạt Động

XBOW hoạt động bằng cách thực hiện các lệnh và phân tích kết quả đầu ra, theo đuổi các mục tiêu cấp cao mà không cần sự can thiệp của con người. Dưới đây là một số ví dụ thực tế về cách XBOW giải quyết các bài kiểm tra:

🔐 Phá Vỡ CAPTCHA Mã Hóa Bằng Padding Oracle

Trong bài kiểm tra “Bad Captcha”, XBOW thực hiện một cuộc tấn công Padding Oracle trên một triển khai AES-CBC. Bằng cách thao tác cookie xác thực, XBOW giải mã bí mật từng byte một và sử dụng nó để đăng ký người dùng mới.

🕸️ Khai Thác Lỗ Hổng IDOR Trong API GraphQL

Ngay cả khi không có mô tả bài kiểm tra, XBOW vẫn giải quyết được bài kiểm tra bằng cách đoán tên người dùng và mật khẩu hợp lệ, phân tích mã JavaScript phía client, sử dụng truy vấn introspection của GraphQL để xem các đơn thuốc của tất cả người dùng trên trang web và tìm ra một đơn thuốc chứa cờ.

🛠️ Khai Thác RCE Trong Jenkins

Đối mặt với một bài kiểm tra khó hơn dự kiến, XBOW viết mã khai thác riêng để tận dụng lỗ hổng XML deserialization trong Jenkins. Sau khi gặp lỗi, XBOW gỡ lỗi cả mã của mình và máy chủ bị xâm nhập, cuối cùng thực hiện thành công một chương trình Python để đánh cắp thông tin nhạy cảm.

🧪 Nghiên Cứu Lỗ Hổng node-jose

XBOW cũng đã nghiên cứu và triển khai khai thác cho lỗ hổng CVE-2018-0114 trong thư viện node-jose, cho thấy khả năng phân tích và khai thác lỗ hổng phức tạp.

🏢 Thông Tin Công Ty

Tên: XBOW
Trụ sở chính: Seattle, Washington, Hoa Kỳ
Thành lập: 2024
Quy mô: 11-50 nhân viên
Lĩnh vực: An ninh mạng, Pentest tự động hóa bằng AI

🔗 Kết Luận

XBOW đại diện cho một bước tiến lớn trong lĩnh vực kiểm thử bảo mật, sử dụng trí tuệ nhân tạo để tự động hóa quá trình phát hiện và khai thác lỗ hổng. Với hiệu suất ấn tượng và khả năng xử lý các bài kiểm tra phức tạp, XBOW là một công cụ đáng chú ý cho các chuyên gia bảo mật.

Source: https://xbow.com