共计 751 个字符,预计需要花费 2 分钟才能阅读完成。
本文首发自「慕课网」,想理解更多 IT 干货内容,程序员圈内热闻,欢送关注 ” 慕课网 ”!
作者:Beerus| 慕课网讲师
背景
本周在《Web 平安浸透测试》课程的 QQ 群中,有同学发问了一个对于网上一个对于 SQL 注入破绽解说案例的问题,如图:
很显著,这是个谬误案例。
如果是一个没有老师或前辈领导的状况下,询问 ChatGPT 是否帮忙解决这个问题呢?
浅探 ChatGPT 的平安能力
注:基于 GPT 3.5。
单刀直入,间接问是否能胜利注入,答案是存在的:
再反复问一遍,态度很动摇,如果是没有相干根底的同学看到话、估摸着就拿来当论断了…:
再质疑一遍,就波动了,但也没有找到问题的关键点所在,只是感觉会校验无效的 user 参数值:
没方法了,只能间接问关键点,这个 ChatGPT 是晓得的:
关联上述语句,再问一遍,后果还是说 or 优先级高于 and,还是有问题:
再诘问一遍,就纠正过去了即 and 优先级高于 or,但论断还是不对的,因为它了解表中存在 user 为 abc 和 pass 为 12345 的行就会返回表中所有行,实在是只会返回一行:
这次加个前提条件即不存在对应的用户名和明码再问题一遍,间接给出谬误答案。。。
:
针对谬误点再次提出疑难,尽管对谬误点进行了纠正,但还是存在谬误(没有 abc 用户名不返回任何行):
回过头来再问,会纠正一些,但不多。。。:
再细问具体不存在用户名和明码的场景,终于给出了正确的不会返回任何行的答案。。。:
最初给出的论断终于正确了,但还不够全面:
至此,置信也再次印证了 ChatGPT 不苟言笑地胡言乱语的景象了,同时也置信 GPT4 的能力会比 3.5 强很多,后续有机会再更新下 4 相干的能力体现。
欢送关注「慕课网」帐号,咱们会始终保持提供 IT 圈优质内容,分享干货常识,大家一起独特成长吧!
本文原创公布于慕课网,转载请注明出处,谢谢合作