声明:案例都是内部部署漏洞测试网站,非真实网站。。。
各位安全圈的小伙伴们,今天必须和大家分享一个超硬核的技术案例!👏
在安全测试领域,新漏洞的出现总是让人既兴奋又头疼,最近我就遇到了一个 “难啃的骨头”——neo4j 的新型 Cypher 注入漏洞
这个 Cypher 注入漏洞在国内网站上几乎看不到相关的披露信息,简直就像隐藏在暗处的 “幽灵”。而且,大部分测试人员对 Cypher 语句都不太熟悉,这就好比让一个不会游泳的人去深海探险,人工测试该漏洞的难度直线飙升。
但是!!我试着让AiPy帮我一下,他真的测试出来了!过程给大家贴下面:
提示词:爱派!现在我遇到一个棘手的问题,我被告知某个网站的登录接口有Cypher注入漏洞,这是neo4的一种新型漏洞。我在网上没有搜到中文相关的漏洞复现思路,我不知道怎么测试这个漏洞。我使用Burpsuite抓包该网站的登录接口,相关请求包在C:\Users\Ky9oss\Tools\Tools_Common\aipy20250411\aipy\post.txt中,请你首先读取该文件。请你尝试Cypher注入,看看能不能绕过登录功能,获取JWT凭证信息
AiPy开始帮我运行
成功获取JWT凭证信息
利用 Aipy 对这种新型漏洞进行快速测试,整个过程就像开了挂一样👍👍👍