Trừ khi bạn sống trong hang động trong vài năm qua, rất có thể bạn đã nghe nói về Nền tảng AI sáng tạo, đặc biệt là ChatGPT. Dành cho những người chưa quen, hãy để tôi giới thiệu ChatGPT- theo cách nói của ChatGPT:

ChatGPT là mô hình ngôn ngữ được phát triển bởi OpenAI, dựa trên kiến ​​trúc GPT (Generative Pre-training Transformer). Đây là một trong những phiên bản lặp lại của dòng GPT, với GPT-3.5 là phiên bản cuối cùng cho đến tháng 9 năm 2021. ChatGPT được thiết kế để hiểu và tạo ra các phản hồi văn bản giống con người.

Nói một cách đơn giản – Người dùng có thể tương tác với ChatGPT bằng cách cung cấp lời nhắc hoặc truy vấn bằng văn bản và nó sẽ tạo ra phản hồi dựa trên kiến ​​thức đã học và hiểu biết về ngôn ngữ. Nó đã được áp dụng rộng rãi cho nhiều nhiệm vụ khác nhau do khả năng ngôn ngữ ấn tượng và tính linh hoạt của nó.

Bạn có thể đăng ký trên https://chat.openai.com/ để bắt đầu.

Vì vậy, làm cách nào bạn có thể sử dụng ChatGPT để nâng cao kỹ năng kiểm tra thâm nhập của mình và sử dụng nó như một trợ lý trong quá trình tham gia kiểm tra thâm nhập của bạn? Tôi đã hỏi câu hỏi đơn giản này với chính nền tảng.

ChatGPT có thể hỗ trợ thử nghiệm thâm nhập như thế nào?

Tôi nhận được phản hồi sau:

ChatGPT có thể hỗ trợ thử nghiệm thâm nhập (pentesting) bằng cách cung cấp thông tin chi tiết có giá trị, tạo đoạn mã, giải thích các khái niệm và hỗ trợ nghiên cứu. Mặc dù bản thân ChatGPT không phải là một công cụ được thiết kế rõ ràng để pentesting nhưng nó có thể được sử dụng như một trợ lý đắc lực trong quá trình này. Dưới đây là một số cách ChatGPT có thể hỗ trợ trong quá trình pentest:

1. Giải thích các khái niệm: Pentesting có thể liên quan đến các khái niệm và phương pháp bảo mật phức tạp. ChatGPT có thể giúp giải thích các khái niệm này một cách đơn giản, giúp những người pentester dễ dàng nắm bắt các kỹ thuật mới hoặc hiểu các lỗ hổng cụ thể hơn.
2. Tạo các đoạn mã: Người thử nghiệm thường cần viết các tập lệnh hoặc mã tùy chỉnh để thực hiện các tác vụ khác nhau trong quá trình pentest. ChatGPT có thể được sử dụng để tạo đoạn mã hoặc hỗ trợ các thử thách mã hóa, tiết kiệm thời gian và công sức.
3. Hỗ trợ nghiên cứu: Trong quá trình pentest, những người pentest có thể gặp phải các lỗ hổng hoặc tình huống mới mà họ không quen thuộc. ChatGPT có thể được sử dụng để tìm kiếm thông tin, bài viết và tài liệu có liên quan nhằm giúp họ hiểu và giải quyết những vấn đề này.
4. Liệt kê các lỗ hổng đã biết: ChatGPT có thể giúp xác định các lỗ hổng đã biết trong phần mềm, khung hoặc thư viện cụ thể bằng cách cung cấp bản tóm tắt thông tin có sẵn công khai và CVE (Các lỗ hổng và lỗ hổng phổ biến).
5. Động não và lên ý tưởng: Những người thử nghiệm có thể cần nghĩ ra các hướng tấn công sáng tạo hoặc lập kế hoạch tiếp cận để khai thác điểm yếu. ChatGPT có thể đóng vai trò là đối tác động não, đề xuất các kịch bản hoặc phương pháp tấn công tiềm ẩn cần xem xét.
6. Các phương pháp thực hành bảo mật tốt nhất: ChatGPT có thể cung cấp thông tin về các phương pháp và tiêu chuẩn bảo mật tốt nhất có thể được tuân theo trong quá trình pentest để đảm bảo đánh giá toàn diện.
7. Trả lời câu hỏi: Người thử nghiệm có thể có câu hỏi hoặc nghi ngờ về các chủ đề hoặc kỹ thuật bảo mật nhất định. ChatGPT có thể được sử dụng để làm rõ những nghi ngờ này và cung cấp thêm thông tin chi tiết.

Tôi nghĩ nên kiểm tra các khả năng này của nền tảng bằng cách hỏi một số truy vấn liên quan đến thử nghiệm thâm nhập (lời nhắc như chúng được gọi trong thế giới Generative AI), bắt đầu từ những truy vấn đơn giản đến những truy vấn tương đối phức tạp.

Dưới đây là một số lời nhắc tôi đã sử dụng và những phản hồi tương ứng mà tôi nhận được (các bạn hãy promt lại bằng tiếng Việt) :

Thật ngạc nhiên, nó cũng cung cấp hướng dẫn sử dụng chi tiết từng bước về kẻ xâm nhập (một công cụ bruteforce trong BurpSuite – một nền tảng kiểm tra bảo mật ứng dụng web rất phổ biến).

Tôi đã thử nhiều lời nhắc khác, chẳng hạn như tạo tiền đề lừa đảo, liệt kê tên miền phụ cho một tên miền cụ thể, liệt kê định dạng email (ví dụ: firstname.lastname@example.com) cho một khách hàng cụ thể, v.v. Đây là một ví dụ về lý do lừa đảo được tạo bởi ChatGPT.

Tuy nhiên, cũng có một số hạn chế trong việc sử dụng nó, vì hiện tại nó không thể tìm kiếm các kho lưu trữ cho các công cụ hoặc cách khai thác cụ thể. Ví dụ: nỗ lực tìm kiếm khai thác-db (cơ sở dữ liệu khai thác nổi tiếng) để tìm các khai thác đã không thành công.

Hơn nữa, tôi đã kiểm tra khả năng của ChatGPT trong việc tạo các tập lệnh có thể hữu ích trong quá trình pentest, chẳng hạn như tạo công cụ tạo mật khẩu và nó đã tạo thành công một tập lệnh.

Chỉ cần lưu ý rằng bạn cần cung cấp cho nó lời nhắc chi tiết để nó có thể tạo tập lệnh/công cụ phù hợp với nhu cầu của bạn.

Tôi cũng có thể tạo tập lệnh python brute-force FTP (sau nhiều lần thử :-)) vì ChatGPT không cung cấp bất kỳ trợ giúp nào nếu ‘cảm thấy’ rằng bạn đang cố gắng sử dụng nền tảng này cho các yêu cầu độc hại của mình.

Trên thực tế, bạn có thể sử dụng ChatGPT theo nhiều cách trong quá trình tương tác sâu nhất và để phát triển công cụ/học tập về an ninh mạng tùy thuộc vào yêu cầu và khả năng sáng tạo của bạn.

Cuối cùng, một số lời cảnh báo khi sử dụng ChatGPT:

Bạn nên lưu ý đến chính sách của công ty mình khi cung cấp thông tin bí mật của khách hàng cho ChatGPT trong quá trình tương tác với khách hàng theo thời gian thực vì điều này có thể gây ra rủi ro tiết lộ thông tin và có thể gây rắc rối cho bạn và công ty của bạn.

Hơn nữa, bạn không nên hoàn toàn dựa vào bất kỳ đề xuất/ biện pháp giảm nhẹ nào do ChatGPT cung cấp cho các lỗ hổng và không nên sử dụng chúng trong các báo cáo đánh giá vì chúng có thể đã lỗi thời hoặc không hoàn toàn có thể áp dụng được. Hãy sử dụng nghiên cứu và phán đoán của bạn để xác nhận chúng trước tiên.

Nguồn

Viện Đào Tạo An Toàn Thông Tin Trực Tuyến Security365 & Các Khóa Học Nổi Bật