正文

ChatGPT进行安全评估与代码审计

admin
admin V管理员 /0 评论 /112 阅读
0219
此篇文章发布距今已超过281天,您需要注意文章的内容或图片是否可用!

ChatGTP介绍

ChatGPT 是由 OpenAI 开发的一个人工智能聊天机器人程序,于 2022 年 11 月推出。该程序使用基于 GPT-3.5 架构的大型语言模型并通过强化学习进行训练。ChatGPT 目前仍以文字方式互动,而除了可以透过人类自然对话方式进行交互,还可以用于相对复杂的语言工作,包括自动文本生成、自动问答、自动摘要等在内的多种任务。ChatGPT 可以写出相似于真人程度的文章,并因其在许多知识领域给出详细的回答和清晰的答案而迅速获得关注,证明了从前认为不会被 AI 取代的知识型工作它也足以胜任,对于金融与白领人力市场的冲击相当大,但其事实准确性参差不齐被认为是一重大缺陷,其基于意识形态的模型训练结果并被认为需要小心地校正。ChatGPT 于 2022 年 11 月发布后,OpenAI 估值已涨至 290 亿美元。上线两个月后,用户数量达到 1 亿

获取ChatGTP

 获取ChatGTP 方法很多下面为大家一一举例

1、自己申请注册ChatGTP

https://www.modb.pro/db/611019https://juejin.cn/post/7199657558834692157https://cloud.tencent.com/developer/article/2190154

2、某宝几块钱买key

3、通过人家注册好的网站花点小钱买会员,估计是几块钱一个月那种,也是相当的多

4、选择白嫖,通过网络空间搜索引擎对ChatGTP搜索(网上很多人搭建好了ChatGTP)很大几率可以白嫖使用

https://fofa.info"loading-wrap" && "balls" && "chat" && is_domain=true

测试使用可以使用

ChatGTP对代码进行审计

首先找一点存在安全问题的代码让AI 帮助我们进行代码审计

<?phperror_reporting(0);if(isset($_GET['c'])){    $c = $_GET['c'];    if(!preg_match("/flag/i", $c)){        eval($c);    }}else{    highlight_file(__FILE__);}

看到这段代码,很明显的一个命令执行的一段代码,看看ChatGTP 是否能帮助我们进行代码审计

话语

你好,现在你是一名代码审计专家,帮我看看下面的代码中是否存在安全问题

<?php  error_reporting(0);if(isset($_GET['c'])){    $c = $_GET['c'];    if(!preg_match("/flag/i", $c)){        eval($c);    }}else{    highlight_file(__FILE__);}

ChatGTP 回答如下

你好!根据你提供的代码,我看到其中存在潜在的安全问题。代码中使用 eval() 函数执行用户传入的字符串 $c,而且并未对用户输入进行任何过滤或验证。这可能导致远程代码执行的风险,攻击者可以通过构造恶意的输入来执行任意的代码。

更安全的做法是避免使用 eval() 函数来执行用户输入的代码,尽量使用其他安全的替代方法,比如执行存储在数据库中的预定义函数或调用可信的 API 接口。

另外,为了防止代码注入攻击,建议对用户输入进行严格的过滤和验证,确保安全地处理用户输入数据。

这里让ChatGTP继续进行安全分析

抱歉,我可能没有表达清楚。根据你提供的代码,存在一些潜在的安全问题,这可能导致远程代码执行的风险。

为了说明漏洞的存在,下面是一个可能的攻击场景:

假设攻击者向服务器发送如下请求:

http://example.com/?c=phpinfo();

由于代码中使用了 eval() 函数,并未对用户输入进行过滤和验证,攻击者传入了一个恶意的命令 phpinfo()。这条命令将执行 phpinfo() 函数,展示服务器的敏感信息。

这个示例说明了代码中存在的远程代码执行漏洞。攻击者可以构造恶意的输入来执行任意的代码,这可能导致数据泄露、系统被入侵或其他安全问题。

为了修复这个漏洞,建议采取以下措施:

避免使用 eval() 函数来执行用户输入的代码。

对用户输入进行严格的过滤和验证,确保只接受合法的输入。

如果需要执行动态代码,考虑使用安全的替代方案,如调用预定义的函数或使用安全的脚本执行机制。

请记住,这仅是一个简单的示例,实际情况可能更加复杂。为了确保代码的安全性,请尽可能寻求专业的代码审计和渗透测试服务,以全面评估你的应用程序的安全性。

验证ChatGTP的审计结果

 搭建工具

phpstudy 小皮windows11

验证

http://127.0.0.1/?c=phpinfo();

  在最新的时代中,我们要善用AI来协助我们进行安全审计,当然不是说完全依靠AI,AI也只是一个工具,当然是一个很好的工具,不能说有了AI,作为人类的我们就可以不会代码,不懂安全,一般是需要懂安全,懂代码的情况下,使用AI才能对我们的安全工作事半功倍,而不是单单的依靠AI,很多人靠着吹嘘这个含笑赚了不少钱,但是经过我测试使用AI来书写的代码会存在很多的缺陷,还有当你写完代码之后,如果有BUG,你是不能够解决BUG的,而且也会存在一些代码逻辑性的问题,AI只是能够协助我们部分工作而已


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com