chatGPT火不火就不用说了,特别是在it行业应该早就火爆了,不管是开发还是测试用该用着都很爽,作为安全圈里的一员,其实我用着也很爽,今天小试牛刀,让chatGPT帮我审计一下代码,好上步骤了
这个是我自己做的代码审计课程,欢迎大佬们捧场,另外后续也会更新chatgpt如何进行审计
使用java security平台,选择sql注入漏洞,将标红的漏洞代码复制出来,并丢给chatGPT,让chatGPT来审计一下:
添加图片注释,不超过 140 字(可选)
问:你是一个代码审计专家及透测试专家,下面有一段代码,请分析一下是否有漏洞:【代码】
下面是我丢给chatGPT的截图,先告诉chatGPT他是什么角色,然后让他来回答我提问的问题。
添加图片注释,不超过 140 字(可选)
下面我们看一下chatGPT给的回答:
添加图片注释,不超过 140 字(可选)
简直了,chatGPT共做了三个回答:
1、告诉我这段代码存在sql注入
2、告诉我利用下面代码能够利用这个漏洞,并给出了利用的poc
/SQLI/jdbc?id=1' and updatexml(1,concat(0x7e,(SELECT user()),0x7e),1)--%20+3、给了我修复后的代码,也就是我上图用红色标注的地方,这个地方chatGPT用了预处理的形式来修复了这个SQL注入,而这个答案我只能说真的是标准答案。和java security平台给的“安全代码”一摸一样。
如果你还不相信他审计的结果,那我们拿第二条给的poc来验证一下是否正确,可以看到上面的语句通过报错型注入将user()信息显示到了页面中root@xxx
添加图片注释,不超过 140 字(可选)
看到这里看懂了吧,这个场景哪些人可以用呢?
1、开发人员--开发人员自己写的代码有没有漏洞,赶紧丢给chatgpt让他给你检查下,并且他能帮你修复。
2、代码审计人员--不多说了,照着上面操作吧
3、测试人员--其实chatgpt不仅能改代码还能写代码,帮你写个测试工具问题不大
如果你不知道chatgpt怎么访问,请关注并三联,私信:chatGPT,领取chatgpt访问链接(无需翻qiang)