Thema
Auf Websites wie Bugcrowd veröffentlichen Unternehmen Bugbounty-Programme. Sie erlauben interessierten Personen aller Kenntnisstufen, ihre Websites oder Anwendungen auf Sicherheitslücken zu untersuchen und gefundene Bugs zu melden. Häufig wird für gefundene Bugs auch eine Belohnung ausgeschrieben.
Im Rahmen dieses Softwareentwicklungspraktikums sollen die Teilnehmer mittels Webscraping Informationen von Bugbounty Websites sammeln und die gesammelten Hosts und IPs automatisiert mit Scannern (z. B. nmap) testen.
Aufgabe
Die Bugbounty-Programme enthalten häufig maschinenlesbare Listen mit zu testenden oder nicht zu testenden Hosts und IPs sowie Regeln in natürlicher Sprache. Mithilfe eines Large Language Models (LLM) sollen die Teilnehmer die Informationen analysieren und passende Test-Strategien generieren. In welchem Umfang Entscheidungen an das LLM ausgelagert werden, entscheiden die Teilnehmer. Dabei ist für uns lediglich wichtig, dass durch die Tests keine schädlichen Nebeneffekte auf den Systemen der Kunden verursacht werden. Außerdem müssen alle durch die Kunden aufgestellten Regeln befolgt werden. Das Ziel ist also, herauszufinden, wie und in welchem Umfang LLMs für derartige Sicherheits-Tests verantwortungsvoll eingesetzt werden können.
Kenntnisse
Thema
TBD