用Deepseek实现Web渗透自动化,从零基础到精通，收藏这篇就够了！_mcp自动化渗透

Browser-use+Deepseek，可以正确理解网页内容，并结合人的指令，操作网站。同时Deepseek对渗透的目标方法也理解到位，二者结合，可以实现对靶机的自动操作。我只能说，作者过于乐观了。

程序媛尤尤

794人浏览 · 2025-04-22 14:07:29

程序媛尤尤 · 2025-04-22 14:07:29 发布

Web渗透：重复劳动终结者？还是安全噩梦的开始？

Web渗透，安全测试的重头戏，但说实话，重复性的工作真不少！天天对着那些个登录框、注入点，手动测试到眼瞎。问题来了：能不能让AI来干这些脏活累活？Deepseek，一个有潜力的选手，但怎么让它“看到”网页，并进行操作？Browser-use，一个“浏览器遥控器”，让AI有了“手脚”。

Browser-use：给LLM装上眼睛和手？别急，没那么简单！

Browser-Use，听起来挺牛逼，开源网页自动化库，号称能让LLM像人一样跟网站互动。多标签管理？XPath提取？视觉模型处理？听着就头大！但核心意思就是：它想给LLM一个“浏览器”，让LLM能“看懂”网页，能“点击”按钮，能“填写”表单。

通用LLM支持： 理论上，任何LLM都能用，本地的，云端的，随便你。但实际效果嘛…还得看LLM的“智商”和Browser-use的兼容性。
交互元素检测： 自动检测网页上的按钮、链接、输入框。听起来很美好，但遇到复杂的、动态的网页，估计就抓瞎了。

开源地址？https://github.com/browser-use/browser-use 自己去看吧，反正我是觉得代码写得…emmm…有待提高。

Deepseek + Browser-use：1+1 > 2？还是1+1 = 0？

Browser-use提供了一个agent，号称能和Deepseek无缝衔接。作者给了个例子，让Deepseek去搞DVWA靶机，还真成功了！

作者让Deepseek做了三件事：

登录DVWA靶机
选择SQL注入
给出解法并实现

Deepseek还真给出了答案：'1' OR '1'='1'。这…也太简单了吧！

Deepseek的“解释”：

解法：

1. 在用户ID输入框中输入 ‘1’ OR ‘1’=‘1’。

2. 点击提交按钮。

这个查询利用了SQL的逻辑运算符OR，使得查询条件始终为真，从而绕过了正常的登录验证。

实现步骤：

1. 打开DVWA登录页面并登录。

2. 选择SQL Injection漏洞。

3. 在用户ID输入框中输入 ‘1’ OR ‘1’=‘1’。

4. 点击提交按钮。

通过这种方式，攻击者可以绕过登录验证并访问数据库中的敏感信息。为了防止SQL注入攻击，开发人员应使用参数化查询和输入验证。

这段话…怎么说呢…像是从网上复制粘贴的，毫无灵魂！而且，这种级别的SQL注入，随便一个脚本小子都会，Deepseek的“智能”体现在哪？

友情提示： 上面这段“解法”和“实现步骤”过于基础，实际渗透场景远比这复杂。

作者还放了个视频，证明Deepseek真的能自动操作。但全程没加速，看着有点慢，而且DVWA本身就很简单，换个复杂的网站试试？