Nền Tảng RedSwarm
Công nghệ đằng sau RedSwarm: kiến trúc Brain + Hand, 116 chiến lược phát hiện.
Kiến trúc Brain + Hand
Hai agent chuyên biệt phối hợp để lập kế hoạch, thực thi và chứng minh từng lỗ hổng.
Brain
Công cụ lý luận AI lập kế hoạch và thực thi 116 chiến lược phát hiện. Nó chọn các vector tấn công phù hợp cho từng mục tiêu, diễn giải phản hồi và quyết định liệu lỗ hổng có được xác nhận hay không trước khi báo cáo.
Hand
Agent thực thi thực hiện các khai thác thực sự trên ứng dụng của bạn. Nó gửi các yêu cầu HTTP được xây dựng chính xác, phân tích phản hồi và tạo ra payload bằng chứng chính xác được đưa vào mọi ticket phát hiện.
Phát hiện OOB
Hệ thống callback ngoài băng tần chứng minh các lỗ hổng ẩn. Phát hiện Log4Shell, SSRF mù và XXE mù ngay cả khi ứng dụng không hiển thị đầu ra nào — bằng cách tương quan các callback với phiên quét.
116 Chiến Lược Phát Hiện
Bao phủ đầy đủ OWASP Top 10 (2021) cùng các bài kiểm tra CVE cụ thể. Không cần cấu hình thủ công cho mỗi dự án.
Injection
SQL, NoSQL, LDAP, OS Command, SSTI
Xác thực bị lỗi
Cố định phiên, thông tin yếu, lỗ hổng JWT
Lộ dữ liệu nhạy cảm
PII trong phản hồi, truyền không an toàn, bộ nhớ đệm
XXE
XXE mù, đọc file, SSRF qua XXE, rò rỉ OOB
Kiểm soát truy cập bị lỗi
IDOR, duyệt thư mục, leo thang đặc quyền
Cấu hình bảo mật sai
Thông tin mặc định, cổng admin mở, lỗi chi tiết
XSS
Phản chiếu, lưu trữ, dựa trên DOM, XSS đột biến
Deserialization không an toàn
Deserialization object Java, PHP, Python
Lỗ hổng đã biết
Kiểm tra thành phần CVE, Log4Shell
Ghi nhật ký không đủ
Thiếu dấu vết kiểm toán, chế độ lỗi im lặng
SSRF
SSRF mù, xoay vòng mạng nội bộ, xác nhận OOB
Lỗi mật mã
Bộ mã hóa yếu, chứng chỉ hết hạn, nội dung hỗn hợp
Phù hợp với quy trình làm việc hiện có
Các phát hiện đã xác nhận chuyển thẳng vào quy trình làm việc hiện có của đội phát triển.