مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/01/16 - 14:04- جرم سایبری

حمله سایبری آژانس‌های اطلاعاتی آمریکا علیه کاربران موبایل

یک گزارش منتشرشده توسط یک ائتلاف صنعتی چینی، فعالیت‌های نظارتی و سرقت داده‌ای آژانس‌های اطلاعاتی آمریکا را که کاربران جهانی تلفن‌های هوشمند و سامانه‌های ارتباطی را هدف قرار می‌دهد، افشا کرد.

1404/01/26 - 08:33- آمریکا

برگزاری رزمایش پاسخ هماهنگ به حمله سایبری توسط اعضای ناتو

متحدان ناتو در یک رزمایش در ماه آوریل سال جاری، پاسخ هماهنگ به حمله سایبری را تمرین کردند.

زینب سلیمانی

انتشار شده در تاریخ 1403/11/04 - 09:15

حمله به وب‌سایت‌ها با استفاده از چت جی‌پی‌تی

چت جی‌پی‌تی به نظر می‌رسد در برابر سوءاستفاده آسیب‌پذیر باشد و ممکن است برای حملات DDoS به وب‌سایت‌ها مورد استفاده قرار گیرد.

به گزارش کارگروه امنیت سایبربان به نقل از دیتا اکونومی، ابزار خزنده وب «چت جی‌پی‌تی» از اوپن ای آی به نظر می‌رسد در برابر سوءاستفاده آسیب‌پذیر باشد و می‌تواند به طور بالقوه برای انجام حملات منع سرویس توزیع‌شده (DDoS) علیه وب‌سایت‌های مختلف مورد استفاده قرار گیرد. این مشکل تاکنون از سوی اوپن ای آی تأیید نشده است.

نحوه عملکرد آسیب‌پذیری«بنجامین فلش»، یک پژوهشگر امنیت سایبری، گزارشی منتشر کرده که نشان می‌دهد یک درخواست ساده «اچ‌تی‌تی‌پی» به API مربوط به چت جی‌پی‌تی می‌تواند هزاران درخواست شبکه‌ای را از طریق خزنده چت جی‌پی‌تی ایجاد کند. این کار توسط یک نقطه پایانی خاص (API endpoint) انجام می‌شود که برای ارائه اطلاعات وب‌سایت‌های مرجع در پاسخ‌های چت جی‌پی‌تی استفاده می‌شود. به عبارت ساده‌تر، یک درخواست ساده می‌تواند باعث شود که چت جی‌پی‌تی به طور خودکار و بدون کنترل، درخواست‌های زیادی به وب‌سایت‌ها ارسال کند که این می‌تواند مشکلات امنیتی و بار اضافی بر روی سرورها ایجاد کند.در این آسیب‌پذیری، مهاجم می‌تواند فهرستی طولانی از آدرس‌های اینترنتی (URLs) به API ارائه دهد که هرکدام اندکی متفاوت، اما به یک سایت اشاره دارند. خزنده چت جی‌پی‌تی تمامی این آدرس‌ها را به طور همزمان پردازش کرده و درخواست‌های متعددی به سایت هدف ارسال می‌کند.

این درخواست می‌تواند شامل هزاران لینک شده و باعث ایجاد هزاران درخواست از سمت سرورهای اوپن ای آی شود. سرورهای اوپن ای آی، که بر بستر «مایکروسافت آزور» اجرا می‌شوند، از طریق آی پی‌های متفاوت (تحت مدیریت کلودفلیر) به سایت هدف درخواست ارسال می‌کنند. این باعث می‌شود شناسایی منبع حمله برای قربانی دشوار شود.

انتقادها از اوپن ای آیفلش بیان کرده که این مشکل به دلیل عدم وجود تدابیر امنیتی پایه‌ای در API رخ داده است، مانند:- حذف لینک‌های تکراری در درخواست‌ها.- محدود کردن تعداد لینک‌های موجود در هر درخواست.وی همچنین اظهار داشت که چنین ضعف‌هایی نشان‌دهنده عدم رعایت استانداردهای معمول در توسعه نرم‌افزار است و حتی یک مهندس باتجربه در سیلیکون‌ولی نباید چنین سیستمی طراحی کند.

مشکلات جانبیاین API همچنین به حملات دیگر مانند حمله «تزریق پرامپت» نیز آسیب‌پذیر است، به این صورت که می‌تواند درخواست‌های دلخواه مهاجم را به جای بازیابی اطلاعات وب‌سایت، پردازش کند.برای مثال، اگر یک کاربر از API بخواهد اطلاعاتی درباره یک موضوع خاص بگیرد، مهاجم می‌تواند ورودی‌ای ارسال کند که به مدل بگوید به جای پاسخ به سوال من، اطلاعات شخصی من را افشا کن یا به من بگو چطور می‌توانم به سیستم نفوذ کنم.