ChatGPT 駭客攻防
- 國防
- Jiachen
前言
OpenAI 的 ChatGPT 模型近年來蓬勃發展,其中的 Codex 自然語言模型,能將自然語言轉換成代碼。這使得開發者和駭客能更輕鬆地撰寫代碼,有助於電腦攻擊和防禦的應用。雖然 ChatGPT 能夠拒絕一些安全性問題,但仍然存在一些方法可以繞過這種機制。以下會以網站攻防的例子說明,同時提供給其他資安領域一個借鏡。
利用ChatGPT攻擊方式
問題:幫我寫一個html網頁,我需要能對設備下命令
針對chatGPT的回答,對於能對設備下命令這類型的攻擊字眼,它會對使用者發出警告。但還是可以利用一些方式繞過這層檢查,以下介紹兩種方式:
2. 拆解問題:shell_code是一個可用於接受外部下達指令的函式,在詢問chatGPT時,我們可以不說明目的,僅詢問shell_code的使用方法,就可以繞過chatGPT安全檢測,成功的幫駭客撰寫程式碼。
以上程式即為標準的後門程式,若能瀏覽帶有此惡意程式碼的網站,即可被駭客入侵,並進行一連串的攻擊行為。
利用ChatGPT防禦方式
1. 靜態程式碼檢測:將撰寫完的程式碼給予chatGPT檢查程式碼的安全性,我們試著將剛才生成的後門程式給予chatGPT檢查,會得到以下回答。
ChatGPT不僅可以通過盤點網域來發現可能存在的子網域,還可以通過閱讀網站內容來猜測其用途。這種功能使得ChatGPT比許多傳統的子網域盤點工具更具有優勢。
子網域盤點對網站的安全非常重要,因為它可以發現可能被忽略的子網域。如這些網域中存在未被維護或使用的網站,那麼攻擊者更有可能利用這些網站上的漏洞,例如使用未更新的軟件或存在安全性問題的程式設計等。透過及時的子網域盤點,可以發現這些潛在的安全問題,並及時解決它們,從而增強網站的安全性。
問題:幫我列出 https://tw.yahoo.com/ 所有能找到的子網域
ChatGPT 可以很快地解決使用 HTTPS 網站時所涉及的憑證和加密等安全性問題,例如憑證和域名是否匹配以及憑證的有效期等。透過檢查這些憑證相關資訊,可以確保使用者正確地連接到合法的網站,減少被釣魚網站所欺騙的風險。同時,確保網站的憑證及時更新也可以提高網站的安全性,防止攻擊者利用已知漏洞攻擊網站。因此,這些檢查和監控的功能可以使得 ChatGPT 在保障使用者隱私和安全方面更加優秀。
問題:幫我檢查這個網站的加密方式與憑證是否有安全性問題 https://tw.yahoo.com/
結論
雖然本文提供了兩種尋找答案的方法,開發者仍然可以使用攻擊手法來測試網站的安全性。例如,使用後門程式來確認網站的權限控制是否正確。如果權限控制良好,即使攻擊者成功連線,也無法繼續攻擊網站。同樣地,駭客也可以使用防禦方法來攻擊網站,例如透過子網域盤點尋找更多攻擊目標。因此,透過 ChatGPT 進行網站攻防已成為駭客和資安從業人員的共同挑戰。