最近在研究Web3的漏洞挖掘,发现ChatGpt是Bug Bounty非常好的智囊,真的如虎添翼。前提是知识量要大,能提供足够的上下文信息。
https://github.com/TakSec/chatgpt-prompts-bug-bounty
一.漏洞扫描
解释代码并识别漏洞
作为专业的漏洞赏金猎人,请对以下代码发表评论。具体说明这段代码并尽可能包含 PoC:
扫描 Javascript 中的漏洞
解析此 javascript 的漏洞、硬编码秘密、XSS、开放重定向,并列出引用的任何文件和路径。具体说明漏洞的位置以及每个漏洞的 PoC。使用富文本格式使其更易于阅读:<insert js>
二.XSS 和 CSRF PoC
XSS PoC
编写将发出 HTTP 请求的 javascript:<insert HTTP request>
终极 XSS PoC
创建一个实现以下任务的 JavaScript 文件,并将其嵌入到我的测试网页中:
在控制台中显示所有 cookie、本地存储和 DOM 内容。
创建一个替换当前网页全部内容的登录页面,并将所有提交的表单数据记录到控制台。
将样式应用于登录页面,使其具有专业的外观。
对于记录到控制台的每个项目,在前面加上标签“hacked cookie:”或特定于所显示信息类型的等效描述。
使用格式和颜色增强控制台输出,使其具有视觉吸引力和易于阅读。
使用 XSS 绕过 CSRF 令牌
对于下面这个表单请求的 HTTP POST,编写一个 JS 函数,向服务器发出异步 GET 请求,将响应解析为 HTML,提取令牌值,并使用该令牌向服务器发出带有 JSON 的后续 POST 请求: <插入 HTTP 请求>
三.XXE
Basic XXE
Provide an example of a safe XXE payload that you can use for testing purposes for a blind XXE PoC that uses <burp collaborator> for the domain for the following .xml file and maintain the structure of the xml content: <insert XML>
SVG Image File XXE
Provide an example of a safe XXE payload that you can use for testing purposes for a blind XXE PoC that uses <burp collaborator> for the domain for the following .svg file and maintain the structure of the xml content: <insert XML>
Excel File XXE
Provide an example of a safe XXE payload that you can use for testing purposes for a blind XXE PoC that uses <burp collaborator> for the domain for the following sharedStrings.xml extracted from a .xlsx file and maintains the structure of the xml content: <insert XML>
免责声明
郑重声明:本号所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途,否则后果自行承担!
有一些小伙伴说是要加群,目前针对各个社区重新进行了分层,方向大致调整为企业安全、CTF技术、红蓝对抗实战技术、区块链开发、代码审计、区块链安全技术。建议根据自己的兴趣加入,如果没有兴趣,请不要盲目入群。
1.CTF技术交流社区
群号: 928684231
2.护网项目实战交流社区
群号: 550961298
3.等级保护与网络安全
群号: 274682210
4.代码审计技术社区
群号: 370871426
5.区块链及以太ETH开发
群号: 599537657
6.Web3安全交流社区
群号: 841091019
1.禁止各类广告
2.禁止各类黑产交流
3.乐于交流分享,定期清理
原文始发于微信公众号(安全初心):ChatGPT 在漏洞赏金的备忘录
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论