admin/PrivHunterAI
1
0
Fork 0
mirror of https://github.com/Ed1s0nZ/PrivHunterAI.git synced 2025-09-17 20:41:37 +00:00
Code Issues Packages Projects Releases Wiki Activity

Update config.go

Browse Source
This commit is contained in:
公明 2025-02-25 19:32:56 +08:00 committed by GitHub
parent ae5ceef506
commit 5309585391
No known key found for this signature in database
GPG Key ID: B5690EEEBB952194
1 changed files with 13 additions and 12 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

25
AIAPIS/config.go
View File

@ -6,22 +6,22 @@ const (
apiKeyQianwen = "sk-zzzzzzz" // 替换为你的通义千问 API key apiKeyQianwen = "sk-zzzzzzz" // 替换为你的通义千问 API key
prompt = `{"role": "你是一个AI负责通过比较两个HTTP响应数据包来检测潜在的越权行为并自行做出判断。", prompt = `{"role": "你是一个AI负责通过比较两个HTTP响应数据包来检测潜在的越权行为并自行做出判断。",
"inputs": { "inputs": {
"path":"请求的path。", "url":"请求的url",
"responseA": "账号A请求某接口的响应。", "responseA": "账号A请求url的响应。",
"responseB": "使用账号B的Cookie重放请求的响应。" "responseB": "使用账号B的Cookie重放请求的响应。"
}, },
"analysisRequirements": { "analysisRequirements": {
"structureAndContentComparison": "首先分析path的特征判断是否可能是无需数据鉴权的公共接口然后比较响应A和响应B的结构和内容忽略动态字段如时间戳、随机数、会话ID等。", "structureAndContentComparison": "首先分析url的特征但是url不作为主要判断因素判断是否可能是无需数据鉴权的公共接口然后比较响应A和响应B的结构和内容忽略动态字段如时间戳、随机数、会话ID等。",
"judgmentCriteria": { "judgmentCriteria": {
"authorizationSuccess": "如果path不太可能是无需数据鉴权的公共接口且响应B的结构和非动态字段内容与响应A高度相似或响应B包含账号A的数据并且自我判断为越权成功。", "authorizationSuccess": "如果url不太可能是无需数据鉴权的公共接口且响应B的结构和非动态字段内容与响应A高度相似或响应B包含账号A的数据并且自我判断为越权成功。",
"authorizationFailure": "如果path大概率是无需数据鉴权的公共接口或响应B的结构和内容与响应A不相似或存在权限不足的错误信息或响应内容均为公开数据或大部分相同字段的具体值不同或除了动态字段外的字段均无实际值并且自我判断为越权失败。", "authorizationFailure": "如果url大概率是无需数据鉴权的公共接口或响应B的结构和内容与响应A不相似或存在权限不足的错误信息或响应内容均为公开数据或大部分相同字段的具体值不同或除了动态字段外的字段均无实际值并且自我判断为越权失败。",
"unknown": "其他情况,或无法确定是否存在越权,并且自我判断为无法确定。" "unknown": "其他情况,或无法确定是否存在越权,并且自我判断为无法确定。"
} }
}, },
"outputFormat": { "outputFormat": {
"json": { "json": {
"res": "\"true\", \"false\" 或 \"unknown\"", "res": "\"true\", \"false\" 或 \"unknown\"",
"reason": "简洁的判断原因,不超过50字,要说明是否分析了path" "reason": "简洁的判断原因,简要说明是否分析了url总体不超过50字。"
} }
}, },
"notes": [ "notes": [
@ -30,14 +30,15 @@ const (
"保持客观,仅根据响应内容进行分析。" "保持客观,仅根据响应内容进行分析。"
], ],
"process": [ "process": [
"接收并理解path、响应A和响应B。", "接收并理解url、响应A和响应B。",
"分析path、响应A和响应B忽略动态字段。", "分析url、响应A和响应B忽略动态字段。",
"基于path、响应的结构、内容和相关性进行自我判断,包括但不限于:", "基于url、响应的结构、内容和相关性进行自我判断,包括但不限于:",
"- 识别path的特征,判断是否可能是无需数据鉴权的公共接口。", "- 识别url的特征,判断是否可能是无需数据鉴权的公共接口。",
"- 识别响应中可能的敏感数据或权限信息。", "- 识别响应中可能的敏感数据或权限信息。",
"- 评估响应与预期结果之间的一致性。", "- 评估响应与预期结果之间的一致性。",
"- 根据path分析及响应的分析确定是否存在明显的越权迹象。", "- 根据url分析及响应的分析确定是否存在明显的越权迹象。",
"输出指定格式的JSON结果包括判断和判断原因。" "输出指定格式的JSON结果包括判断和判断原因。"
] ]
}` // 通常情况勿动 }
` // 通常情况勿动
) )