前言
昨天建了一个公开漏洞POC库,想用neclei ,但是写漏洞检测的yaml实在太麻烦了。至今没有找到能够方便编写yaml的工具。平时时间就那么一点点,一个个漏洞去写岂不是累死了。
于是就想起了用ChatGPT写个漏洞检测脚本。在查找资料的过程中,发现出了chatGPT,还有其他的插件可用,顺便也介绍一下。
我的刚建的漏洞检测脚本库:https://github.com/Vme18000yuan/FreePOC
以后每周有时间更新几个,也欢迎大家提供POC,一起来维护。
首先介绍两个自动化生成POC的工具
一、谷歌插件半自动化生成漏洞检测脚本
首先在 https://cloud.projectdiscovery.io/ 上注册一个账号
如果有google或者微软账户可直接登录
下载插件解压
打开浏览器,安装插件,选择解压后的文件夹
使用演示
例:https://blog.csdn.net/CommputerMac/article/details/134276212
打开网页,找到POC,选中POC,然后右击,点击Generate Nuclei Template,右边会弹出一个框框,点击Generate,稍等一会即可生成Nuclei POC。(需要翻墙连外网)
稍等一会就会出现POC
经测试这样生成很明显这样的有问题,匹配条件可能不对,还需要改一下匹配条件。而且最好是使用原始的HTTP 请求 raw ,可直接复制粘贴burp抓到的数据包,这样最简单而且节省自己写yaml文件格式的麻烦。raw格式如下:
requests:raw:|POST/path2/ HTTP/1.1Host:{{Hostname}}:application/x-www-form-urlencodeda=test&b=pd
所以半自动化方式生成还需要有一些yaml的基础才行,这里不再介绍yaml漏洞检测脚本的编写,有兴趣学习的推荐下面链接学习:
https://blog.csdn.net/qq_41315957/article/details/126594572https://blog.csdn.net/qq_41315957/article/details/126594670
二、nuclei_gpt 全自动生成漏洞检测脚本
nuclei_gpt 是一个通过Embedding向量Nuclei的模板文档的项目,运行prompt查询工具可以直接对接GPT-3.5编写Nuclei的Yaml文件,安全人员只需要提交相关的Request和Response以及漏洞的描述,就能生成Nuclei的Poc。
使用nuclei_gpt 首先需要你有一个ChatGPT的账号,然后登录
https://platform.openai.com/ 创建APIkey
下载nulei_gpt (后台回复 20231114 获取) ,解压文件。
打开Run.py 填写配置,及数据请求包,返回包
然后运行Run.py即可。第一次运行过程中,可能出现各种报错,大都是确实相关的包,直接pip3 install xxx 安装缺少的包即可。
参考:https://github.com/sf197/nuclei_gpt
三、总结
网上都在说今年是AI元年,AIGC的模式今年的发展确实很大。人工智能赋能各行各业是大趋势,人工智能的发展对于个人既是机遇又是挑战。利用人工智能可用节省学习成本及时间,方便快速完成工作。但与此同时,对企业来说人工智能的应用就是降本增效,压缩人力成本。
对于安全从业者来说也是这样,当很多工作都可以自动化,利用人工智能自动化生成漏洞检测利用脚本,自动化代码审计找漏洞,自动化分析流量,自动化防御。可以说有了人工智能,有些计算机常识,人人都能当黑客。
尤其是在大环境不是太好的情况下,利用人工智能赋能安全行业,那么企业是不是有充分的理由可裁掉大部分安服人员?安全从业者的价值在哪里?
我前两个月一直在焦虑,我的工作的价值和意义在哪里?
用上人工智能,我做的这些事情大街上拉一个培训两天都能做。
长此以往,计算机行业 35岁的大限将至时候,我不失业谁失业?
在写文章时候,看到了这样一段话
话说的虽然难听,但也真实,对于计算机行业来说 开发,算法或是正统。但无论开发还是算法亦或是安全,也还是要不断的学习提升自己。反思我最近两个个月,天天更新公众号,我又得到了什么?无非是焦虑的时候,迷茫的时候,给自己找点事做,但自己毫无提升。似乎也理解了为什么最初关注的那些安全大佬们也不再更新文章,甚至朋友圈都很少发了。
前路依旧漫长,以后公众号还是少更新一些算了,多留点时间给自己学习、思考、休息。
原文始发于微信公众号(网络安全透视镜):使用AI自动化生成漏洞检测与利用脚本以及人人都能当黑客时代的反思
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论