arXiv: DeepSeek@Ali Karakoc, H. Birkan Yilmaz
精选65
推荐理由:安全工程师和渗透测试人员可以借鉴RADAGAS和RefleXQLi的思路,自动化生成对抗性SQL注入payload来评估自家WAF的盲区,尤其是AI/ML型WAF的脆弱点值得重点关注。
精选
AI 自动挑选的高价值内容
5月13日
19:12
该论文提出两种基于大语言模型(LLM)的对抗性SQL注入生成系统:RADAGAS(检索增强生成)和RefleXQLi(反思链式推理),用于自动化测试Web应用防火墙(WAF)的防御能力。研究使用GPT-4o、Claude 3.7 Sonnet和DeepSeek R1,在10种WAF(包括规则型、AI/ML型和商业型)上进行了240次实验,生成了24万个payload并执行了220万次测试。结果显示,RADAGAS-GPT4o以22.73%的绕过率领先基线模型,对AI/ML型WAF(如WAF-Brain和CNN-WAF)的绕过率高达92.49%和80.48%,但对规则型WAF(如ModSecurity和Coraza)的绕过率仅0-5.70%。研究还发现,多样性较低的payload更容易绕过,但若初始payload失败则效果不佳。这项工作为安全测试中LLM的应用提供了全面视角。