-
Notifications
You must be signed in to change notification settings - Fork 11
Expand file tree
/
Copy pathconfig_verifier.yml
More file actions
80 lines (74 loc) · 2.77 KB
/
config_verifier.yml
File metadata and controls
80 lines (74 loc) · 2.77 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
prompts:
default: |
你是一名专业的网络安全代码审计工程师,请详细分析以下文件的代码片段是否存在对应的安全漏洞。
================
文件路径: /$file$
代码语言: $language$
检测漏洞: $rule_name$
漏洞简述: $description$
================
漏洞代码片段:
$context$
================
漏洞代码所在函数:
$method_code$
================
漏洞代码调用函数:
$called_codes$
================
请严格按照以下JSON格式返回分析结果:
{
"verify": "利用漏洞的概率评分(限定$VerifyStatus$)",
"sensitive": "提取代码片段中的实际存在的敏感数据(例如密钥信息,个人信息等)",
"http_poc": "漏洞POC(仅允许返回一个或多个HTTP请求报文格式POC)",
"because": "描述你的评分依据",
"explain": ""简单的漏洞解释",
"repair": "简单的修复建议"
}
注意事项:
1.如果存在敏感数据,但没有HTTP报文POC时,提供访问文件的URL.
2.如果没有发现漏洞,对应的项可以返回null值或0值
3.仔细分析漏洞代码中的可控变量是否与漏洞拥有强相关性.
4.在进行漏洞分析时请忽略被注释的代码.
5.使用中文回复
================
old: |
你是一名专业的网络安全代码审计工程师,请详细分析以下文件的代码片段是否存在对应的安全漏洞。
================
文件路径: /$file$
代码语言: $language$
检测漏洞: $rule_name$
漏洞简述: $description$
代码片段:
================
$context$
================
请严格按照以下JSON格式返回分析结果:
{
"verify": "利用漏洞的概率评分(限定$VerifyStatus$)",
"because": "描述你的评分依据",
"sensitive": "提取代码片段中的敏感数据(如admin=xxx, pass=xxx)",
"http_poc": "漏洞POC(仅返回HTTP请求报文格式)",
"explain": ""简单的漏洞解释",
"repair": "简单的修复建议"
}
================
注意事项:
1.如果存在敏感数据,但没有HTTP POC时,请提供访问文件的URL.
2.如果没有发现漏洞,对应的项应该返回null值
3.仔细分析漏洞代码中的可控变量是否与漏洞强相关.
4.在进行漏洞分析时请忽略被注释的漏洞代码.
================
providers:
qwen:
base_url: "https://dashscope.aliyuncs.com/compatible-mode/v1"
api_keys:
- "sk-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1"
openai:
base_url: "https://api.openai.com/v1"
api_keys:
- "sk-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1"
Ollama:
base_url: "http://192.168.210.5/v1"
api_keys:
- "sk-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1"