Lien:
[RÉPONDRE]
Les fichiers les plus dangereux selon ChatGPT
Le dossier racine est la partie après la première barre oblique dans l'adresse du site. En termes simples, l'attaque à la racine du site ressemble à ceci : https://example.com/[part_of_the_URL_looked_by_the_intruder] . Son efficacité dépend directement de la liste utilisée par les pirates (dans notre cas, les chercheurs en sécurité). Plus la liste est pertinente et complète, plus les chances de retrouver les fichiers laissés par les développeurs sont élevées.Si vous demandez directement à ChatGPT les noms de fichiers potentiellement dangereux, il ne répondra pas. Les conditions d'OpenAI, le développeur du réseau neuronal, interdisent son utilisation à des fins malveillantes, donc ChatGPT n'enseignera jamais le piratage. Cependant, si les pirates font preuve de créativité, ils peuvent obtenir des informations utiles, en particulier une liste des fichiers les plus importants et les plus courants à la racine des sites. La liste générée par ChatGPT pour cette requête 5 000 fichiers, dont config.backup (qui peut stocker des informations importantes sur la configuration du site) et test-odbc.php (un fichier permettant de tester la connexion à la base de données) .
Le contenu d'une des versions du fichier ChatGPT-fuzz.txt
Certains des fichiers qu'il peut déjà avoir été mentionnés dans les listes fuzz.txt publiées, et les chercheurs, en règle générale, les ont compilés manuellement. Cela prouve que le réseau de neurones est le bon train de pensée. Par exemple, il existe une feuille Bo0oM de hacker blanc similaire sur GitHub. ChatGPT-fuzz.txt ne correspond pas à plus de 354 lignes, sinon il contient de nouveaux fichiers qui n'étaient pas vus auparavant par les chasseurs de bogues.
La particularité de cette liste est que ChatGPT fournit des informations basées sur l'analyse d'un vaste éventail de données provenant d'Internet. Une personne ne peut physiquement pas analyser la même quantité d'informations qu'un réseau de neurones.
Commentez ChatGPT a collecté les noms de fichiers pour une liste
Les développeurs doivent vérifier les sites avant l'arrivée des pirates
On dit souvent que reconnaître un problème est la moitié de la solution. Les développeurs de sites Web doivent réfléchir à l'avance à ce qu'ils stockent dans le dossier racine, et dès maintenant en supprimer les fichiers inutiles et mieux masquer ceux qui sont nécessaires. Cela aidera à prévenir les problèmes à l'avenir. Par exemple, qu'est-ce qui pourrait être dangereux dans la fuite de journaux ? Regardons l'exemple d'un cas réel, que nous avons réussi à trouver en utilisant ChatGPT-fuzz.txt.Fuite de journal sur l'un des domaines, identifiée à l'aide de ChatGPT-fuzz.txt
Dans ce cas, le fichier webhook_sms_log.txt a "divulgué" les données personnelles des utilisateurs, y compris les numéros de portable et les adresses personnelles. On ne peut que deviner comment les attaquants utiliseraient ces informations s'ils découvraient la vulnérabilité en premier.
De plus, les développeurs ne doivent pas utiliser de noms de fichiers prévisibles tels que test.php ou config.txt. Une autre recommandation pertinente pour les développeurs et les spécialistes de la sécurité de l'information est de ré-auditer périodiquement les sites. Si vous êtes responsable de la sécurité des services, vous devez indiquer aux développeurs qui peuvent être les conséquences pour l'entreprise s'ils ne suivent pas des règles simples.
Conclusion
Le potentiel de ChatGPT n'a pas encore été exploité. Ce n'est que maintenant que les spécialistes de la sécurité de l'information comprennent de quel type d'outil il s'agit et comment il peut être utilisé dans les tâches professionnelles. En plus des noms des fichiers les plus dangereux, en utilisant le réseau neuronal, vous pouvez déterminer les en-têtes populaires, les cookies, les paramètres de configuration du site et bien plus encore.Il est important qu'autant de chasseurs de bugs qu'il soit possible de commencer à s'appuyer sur des listes similaires à ChatGPT-fuzz.txt lors de la recherche de vulnérabilités. Cela augmentera la sécurité des services que nous utilisons fréquemment et rendons ainsi notre monde plus sûr.
[/RÉPONDRE]