如今的ChatGPT 对于代码/日志/混淆等文本类信息有着较好的理解能力,利用这个优点,可以辅助代码审计人员进行代码审计。例如遇到一些大型项目,里面有很多复杂的函数。使用ChatGPT辅助代码审计,可以快速理解这些函数的作用,提高代码审计效率。
并且,由于ChatGPT支持API调用,未来可以根据Openai 提供的API接口来和 ChatGPT交互,实现一个代码审计平台,能够快速地利用ChatGPT审计整个项目,有丰富的想象空间。
Web端ChatGPT的代码审计在不设置ChatGPT角色的情况下,直接将准备好的存在漏洞代码片段给ChatGPT审计:
以下是ChatGPT的审计结果:
并且ChatGPT对分析出的漏洞进行级别的区分,能够帮助安全人员迅速定位高危漏洞:
从以上的测试可以得出结论,利用ChatGPT进行代码审计交互主要由3部分组成。
系统指令部分:让ChatGPT扮演一个网络安全专家,引导 ChatGPT进入情景;代码内容部分:将需要分析的代码发送给ChatGPT;用户需求部分:告知ChatGPT需要做怎样的分析、以怎样的格式输出;应用案列示例一利用ChatGPT审计一段存在sql注入的php源码:
将源代码进行一定的安全加固,将原本使用POST传值改为更为隐蔽的session传值,测试ChatGPT是否能在一定的安全加固下,准确审计出漏洞:
ChatGPT对这段代码的分析非常准确,结果如下:
分析这个结果,不难看出,ChatGPT对整个代码的分析都十分精确、合理。在实际环境中,完全可以使用ChatGPT来辅助安全代码审计人员进行工作,极大地提高工作效率。
考虑ChatGPT 账号注册流程繁琐,现提供关于ChatGPT Plus账号的各项服务,有需要的小伙伴请私信我!
获取往期报告《美国情报机构网络攻击的历史回顾(2023年)》《美国情报界威胁评估报告(2023年)》《ChatGPT技术与商业案例分析调研报告(2023年)》《中国网络安全产业分析报告(2022年)》《OWASP-TOP10-2021中文版(2021年)》获取链接:附案例 | ChatGPT辅助代码审计相关文章
猜你喜欢