Förderjahr 2023 / Projekt Call #18 / ProjektID: 6878 / Projekt: WebSecBot
WebSecBot Plugin in Aktion
Fortschritte beim Browser Plugin
In den letzten Monaten haben wir intensiv an unserem Plugin gearbeitet, das über die OpenAI API einen Assistant anbietet, um Sicherheitstests für Webseiten zu unterstützen. Dieses Plugin, welches wir in React entwickelt haben, ermöglicht es Benutzer*innen, Webseiten direkt im Browser zu analysieren und dabei auf die Expertise eines KI-gesteuerten Sicherheitsassistenten zurückzugreifen. Zu Testzwecken verwenden wir zunächst OpenAI, planen aber, später auf ein lokales Modell umzusteigen.
Funktionsweise des Plugins
Das Plugin sammelt dabei Informationen über die aktuelle Webseite, und nutzt diese Daten, um eine Liste der wichtigsten Sicherheitsprobleme zu erstellen, die überprüft werden sollten. Die Analyse erfolgt, indem das Plugin spezifische Teile der Webseite an das Sprachmodell weitergibt, welches dann vorschlägt, welche Sicherheitsprüfungen durchgeführt werden sollten. Anschließend wird eine Liste mit möglichen Sicherheitsproblemen erstellt, die näher betrachtet werden sollten, und bietet detaillierte Anweisungen, wie jedes dieser Probleme getestet werden kann.
Praktische Anwendung und interaktive Unterstützung
Entwickler*innen können einfach eine Webseite im Browser öffnen und den Assistenten als Plugin verwenden, um die aktuelle Seite zu analysieren. Durch die verschiedenen Befehle wie Analyse, To-Do-Listen, Ergebnisbewertung und Implementierungshilfen wird der gesamte Prozess des Sicherheitstests strukturiert und unterstützt. Benutzer*innen können spezifische Fragen zu den identifizierten Problemen stellen und erhalten präzise Antworten vom Plugin. Nach der Durchführung der Tests können Benutzer*innen die Ergebnisse eingeben, und das Plugin beurteilt, ob eine Schwachstelle vorliegt. Darüber hinaus liefert das Plugin praktische Tipps zur Behebung identifizierter Schwachstellen, sodass Entwickler*innen ihre Webapplikationen sicherer machen können. Dies ermöglicht es auch Entwickler*innen ohne tiefgehende Sicherheitsexpertise, ihre Anwendungen auf potenzielle Schwachstellen zu überprüfen und entsprechende Maßnahmen zur Verbesserung der Sicherheit zu ergreifen.
