Verso un Penetration Testing Autonomo e Intelligente per Database NoSQL

Abstract

L’evoluzione delle tecnologie web e delle architetture cloud ha aumentato la complessità e la superficie di attacco delle applicazioni moderne. Il vulnerability assessment e il penetration testing rappresentano pratiche fondamentali per identificare debolezze di sicurezza prima che possano essere sfruttate. Gli strumenti di sicurezza tradizionali utilizzati in queste attività si basano generalmente su payload statici, firme e euristiche basate su regole. Sebbene efficaci in molti scenari, la loro rigidità limita la capacità di adattarsi a nuovi contesti ed a comportamenti applicativi complessi. I recenti progressi nell’ambito dell’intelligenza artificiali ad agenti, hanno introdotto sistemi in grado di perseguire autonomamente obiettivi attraverso processi iterativi di ragionamento e interazione con ambienti esterni. Tali sistemi possono mantenere uno stato interno, pianificare sequenze di azioni, invocare strumenti esterni e adattare le proprie strategie sulla base delle risposte osservate. Queste capacità rendono i sistemi agentici particolarmente adatti alle attività di security testing, dove l’individuazione efficace delle vulnerabilità richiede spesso un’interazione esplorativa con l’applicazione e l’adattamento dinamico delle strategie di attacco. Questa tesi di laurea magistrale esplora l’utilizzo dell’Agentic AI per il vulnerability assessment, con particolare attenzione alle vulnerabilità di NoSQL Injection. A tal fine viene progettato un framework denominato Noctua, in grado di interagire autonomamente con applicazioni target e di adattare dinamicamente la propria strategia di testing. Attraverso esperimenti condotti su diverse challenge di tipo Capture The Flag, questo lavoro valuta l’efficacia, i punti di forza e le limitazioni di agenti di sicurezza applicativa guidati da large language models.

The evolution of web technologies and cloud architectures has increased the complexity and attack surface of modern applications. Vulnerability assessment and penetration testing are essential practices used to identify security weaknesses before they can be exploited. Traditional security tools used in these activities typically rely on static payloads, signatures, and rule-based heuristics. While effective in many scenarios, their rigidity limits adaptability to novel contexts and complex application behaviors. Recent progress in Agentic Artificial Intelligence has introduced systems capable of autonomously pursuing objectives through iterative reasoning and interaction with external environments. Such systems can maintain internal state, plan sequences of actions, invoke external tools, and adapt their strategies based on observed responses. These capabilities make agentic systems particularly suitable for security testing tasks, where effective vulnerability discovery often requires exploratory interaction with an application and dynamic adaptation of attack strategies. This Master's thesis explore the use of Agentic AI for vulnerability assessment, focusing on NoSQL Injection vulnerabilities. A framework called Noctua is designed to autonomously interact with target applications and adapt its testing strategy. Through experiments on multiple Capture The Flag challenges, this work evaluates the effectiveness, strengths, and limitations of large language model–driven agents in application security.