Sicherheitsanfälligkeiten in Webanwendungen, insbesondere SQL-Injection (SQLi) und Cross-Site-Scripting (XSS), dominieren weiterhin die globale Bedrohungslandschaft und machen über 25 % der dokumentierten Sicherheitsvorfälle jährlich aus. Vorhandene Tools wie Burp Suite, OWASP ZAP und Nikto sind zwar wertvoll, erfordern jedoch erheblichen manuellen Aufwand und fehlen die Fähigkeit, realistische Cyber-Bedrohungsinformationen (CTI) für automatisierte Payload-Tests zu nutzen. Dieses Papier präsentiert AWVERT (Automatisiertes Tool zur Ausnutzung und Berichterstattung von Web-Sicherheitsanfälligkeiten), einen auf Python basierenden automatisierten Sicherheits-Scanner für Webanwendungen. AWVERT integriert einen Breadth-First Search (BFS) Web-Crawler mit Unterstützung für sowohl klassische serverseitig gerenderte als auch Single Page Application (SPA) Architekturen unter Verwendung von headless Chromium über Playwright. Das Tool testet sechs Injektionskategorien – SQL-Injection, Cross-Site-Scripting, PHP/Befehlsinjektion, HTML-Injektion, XML/XXE-Injektion und NoSQL-Injektion – unter Verwendung von CTI-gestützten Payloads aus einem strukturierten Tresor. Die Erkennung erfolgt in drei Modi: Reflexionsanalyse, Fehler-Signaturanpassung und statistische zeitbasierte Inferenz. Getestet gegen die absichtlich verwundbare Anwendung OWASP Juice Shop zeigt AWVERT eine Erkennungsrate von 77,8 % über alle Injektionsarten mit einer Rate falscher Positiver von 9,0 %.
Moorthi R, Adhitthyan K G, Joshua Fernando (Mi,) haben diese Frage untersucht.
Synapse has enriched 5 closely related papers on similar clinical questions. Consider them for comparative context: