از تست دستی تا اتوماسیون: Claude Code چگونه حفره‌های IDOR را ردیابی می‌کند؟

اگر روزهای خود را با تکرار دستی درخواست‌ها در Burp Suite می‌گذرانید، وقت آن است که با Claude Code آشنا شوید. شما می‌توانید تمرکز خود را از کلیک‌های تکراری به طراحی متدولوژی‌های سطح‌بالا تغییر دهید.

این قابلیت بخشی از یک روند بزرگ‌تر است: تبدیل مدل زبانی بزرگ (LLM) — مثل کتابخانه‌داری که میلیاردها صفحه را خوانده و حالا با همان لحن جواب می‌دهد — از یک چت‌بات ساده به یک عامل (Agent) فعال. همان‌طور که در تحلیل قبلی ما درباره‌ی استفاده‌ی مدل‌های کلود از ابزارها برای امتیازدهی به سرنخ‌ها اشاره کردیم، حالا هدف این فناوری، حسابرسی‌های امنیتی با دقت بالا است؛ جایی که هیچ خطایی پذیرفته نیست.

به نقل از یک آموزش جامع در ۸ ژوئن ۲۰۲۶ در وب‌سایت dev.to، این سیستم از طریق دو ابزار کلیدی کار می‌کند:

• سرور Burp MCP: دسترسی مدل به تاریخچه HTTP و بازپخش درخواست‌ها را فراهم می‌کند.
• سرور Playwright MCP: مرورگر را خودکار کرده و ترافیک را از پروکسی Burp در پورت ۸۰۸۰ عبور می‌دهد.

این مدل حدس نمی‌زند، بلکه یک متدولوژی کدگذاری‌شده را اجرا می‌کند. برای مثال، مدل وارد یک اپلیکیشن اشتراک تکه-کد می‌شود، یک درخواست معتبر را شناسایی می‌کند و سپس ID یک شیء را تغییر می‌دهد تا وجود IDOR (مرجع مستقیم ناامن به اشیاء) را بسنجد.

بعد از ارسال درخواست اصلاح‌شده، کلود پاسخ ۴۰۳ (Forbidden) را شناسایی کرده و تأیید می‌کند که پروتکشن‌های احراز هویت و CSRF فعال هستند.

نقطه عطف این اتفاق، تغییر دید «جعبه-سیاه» به «جعبه-سفید» است — شبیه مکانیکی که علاوه بر شنیدن صدای موتور، می‌تواند قطعات داخلی را در حین حرکت ببیند. چون Claude Code مستقیماً در دایرکتوری پروژه اجرا می‌شود، خطای ۴۰۸ را دقیقاً به سطر مربوطه در کد متصل می‌کند. این یعنی پایان حدس و گمان بین دیدن یک خطا و یافتن منطق خراب در کد.

این تحول، تست امنیت را از یک «هنر اکتشافی» به یک «علم مقیاس‌پذیر» تبدیل می‌کند. مهندسان دیگر ساعت‌ها وقت خود را روی تست‌های رگرسیون دستی تلف نمی‌کنند، بلکه یک «مهارت» (Skill) یا همان الگوی پرامپت تعریف می‌کنند و اجازه می‌دهند AI آن را روی هزاران نقطه اتصال (Endpoint) اجرا کند. با این حال، این افزایش چشمگیر سرعت در اتوماسیون، چالش‌های مدیریتی خاص خود را دارد؛ چنان‌که پیش‌تر بررسی کردیم چگونه سرعتِ بیشتر با Claude Code ممکن است در صورت عدم مدیریت صحیح، به «بدهی بهره‌وری» تبدیل شود.

گام بعدی شما

• بررسی و نصب سرورهای Burp MCP و Playwright MCP برای خودکارسازی جریان‌های کاری.
• مشاهده ویدئوی کامل عملیاتی این ابزارها در یوتیوب برای درک بهتر تعاملات.
• رصد کتابخانه‌های جامعه‌محور «Skill» که برای شناسایی الگوهای رایج CVE طراحی می‌شوند.

اما این تنها آغاز ماجراست؛ اثر موج‌گونه‌ی استانداردسازی پروتکل MCP بر کل اکوسیستم ابزارهای توسعه را در گزارش بعدی بررسی خواهیم کرد.