Здравейте всички! 🙂 Ако сте разработчик или изследовател по сигурността, вие знаете това чувство. Вие сте с часове в проблем, сте минали през всичките си контролни списъци и сте ударили стена. „И така, какво сега?“ През последните няколко месеца, аз съм изграждане на проект, наречен Но преди да ви покажа какво е то, трябва да ви кажа какво е то. . RAWPA (Rodney the Advanced Web Pentesting Assistant) не е Трябва да заявя това с най-голямо значение: RAWPA не е "бърза схема за получаване на бъгове". Силно насърчавам ръчния процес на проследяване на JS файлове, търсене на грешки в бизнес логиката, намиране на изложени крайни точки и творчество в Burp Suite. RAWPA не е скрипт за автоматизация, за да замени тези умения. Трябва да заявя това с най-голямо значение: RAWPA не е "бърза схема за получаване на бъгове". Силно насърчавам ръчния процес на проследяване на JS файлове, търсене на грешки в бизнес логиката, намиране на изложени крайни точки и творчество в Burp Suite. RAWPA не е скрипт за автоматизация, за да замени тези умения. The Shiny AI Feature (And Why I Benched It) Естествено, исках да създам елегантен асистент, задвижван от AI. Първо се потопих в главата, изграждайки RAG (Retrieval-Augmented Generation) модел, който да действа като "Copilot" за всяка стъпка от тестването. Първоначалните резултати бяха невероятни! Но когато се опитах да го направя по-точен, магията започна да избледнява.Отговорите станаха шумни, кодът започна да се счупва и осъзнах, че прекарвам цялото си време в дебютиране на AI, вместо да изграждам ядрото на приложението. Така че направих труден разговор: спрях цялата функция. на Създадох администриращ панел за проекта (голяма победа сама по себе си!) и добавих проста превключване, за да изключите AI. Това се почувства като бенкиране на моя звезден играч, но това беше правилният стратегически ход. на So, What Am I Doing Now? The Grind. Това е по-малко очарователна част от развитието, която не винаги я превръща в публикации в блогове. Прекарвам дните си (и нощите) в сърфиране в мрежата, гледане на технически разговори и копаене през изследователски статии, за да намеря, тествам и валидирам всяка една методология, която влиза в RAWPA. Този процес беше валидиран, когато се натъкнах на сайта на lostsec, който има подобна цел.Вместо да се чувствам обезкуражен, той ми даде волята да продължа, доказвайки, че има реална нужда от инструменти, които увеличават, а не автоматизират, нашето мислене. Връзката от LinkedIn ми даде фантастичен списък с идеи за бъдещи функции, като геймификация, интегриране на инструменти и съвместни режими, които наистина са оформили дългосрочната визия. на What's Next & How You Can Help Моята цел е да направя RAWPA надежден, общностно информиран ресурс. Можете да следвате подробностите за развитието в личния ми блог тук: https://kuwguap.github.io/posts/series-2-implementing-wpa-in-rawpa-part-1/ Това е усилие, насочено към общността.Ако имате методики, идеи или предложения, бих искал да ги чуя.Най-добрият начин да се свържете с тях е в LinkedIn В края на деня вярвам, че RAWPA ще помогне на някого да се отърве и да научи нещо ново. https://kuwguap.github.io/posts/series-2-implementing-wpa-in-rawpa-part-1/ Линкън Благодаря за четенето!
