跳到主文
部落格全站分類:不設分類
OpenAI 的 ChatGPT 模型近年來蓬勃發展,其中的 Codex 自然語言模型,能將自然語言轉換成代碼。這使得開發者和駭客能更輕鬆地撰寫代碼,有助於電腦攻擊和防禦的應用。雖然 ChatGPT 能夠拒絕一些安全性問題,但仍然存在一些方法可以繞過這種機制。以下會以網站攻防的例子說明,同時提供給其他資安領域一個借鏡。
問題:幫我寫一個html網頁,我需要能對設備下命令
針對chatGPT的回答,對於能對設備下命令這類型的攻擊字眼,它會對使用者發出警告。但還是可以利用一些方式繞過這層檢查,以下介紹兩種方式:
2. 拆解問題:shell_code是一個可用於接受外部下達指令的函式,在詢問chatGPT時,我們可以不說明目的,僅詢問shell_code的使用方法,就可以繞過chatGPT安全檢測,成功的幫駭客撰寫程式碼。
以上程式即為標準的後門程式,若能瀏覽帶有此惡意程式碼的網站,即可被駭客入侵,並進行一連串的攻擊行為。
1. 靜態程式碼檢測:將撰寫完的程式碼給予chatGPT檢查程式碼的安全性,我們試著將剛才生成的後門程式給予chatGPT檢查,會得到以下回答。
ChatGPT 可以很快地解決使用 HTTPS 網站時所涉及的憑證和加密等安全性問題,例如憑證和域名是否匹配以及憑證的有效期等。透過檢查這些憑證相關資訊,可以確保使用者正確地連接到合法的網站,減少被釣魚網站所欺騙的風險。同時,確保網站的憑證及時更新也可以提高網站的安全性,防止攻擊者利用已知漏洞攻擊網站。因此,這些檢查和監控的功能可以使得 ChatGPT 在保障使用者隱私和安全方面更加優秀。
問題:幫我檢查這個網站的加密方式與憑證是否有安全性問題 https://tw.yahoo.com/
雖然本文提供了兩種尋找答案的方法,開發者仍然可以使用攻擊手法來測試網站的安全性。例如,使用後門程式來確認網站的權限控制是否正確。如果權限控制良好,即使攻擊者成功連線,也無法繼續攻擊網站。同樣地,駭客也可以使用防禦方法來攻擊網站,例如透過子網域盤點尋找更多攻擊目標。因此,透過 ChatGPT 進行網站攻防已成為駭客和資安從業人員的共同挑戰。
轉載自印鑫科技 https://fortunetek.com
劉老師的跨域創想工坊
liusming 發表在 痞客邦 留言(0) 人氣()
{{ guestName }} (登出)
您尚未登入,將以訪客身份留言。亦可以上方服務帳號登入留言
請輸入暱稱 ( 最多顯示 6 個中文字元 )
請輸入標題 ( 最多顯示 9 個中文字元 )
請輸入內容 ( 最多 140 個中文字元 )
請輸入左方認證碼:
看不懂,換張圖
請輸入驗證碼