偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

OpenAI 曝新漏洞,一個(gè)手機(jī)號(hào)可以批量注冊賬號(hào)!

作者:軒轅之風(fēng)
安全 漏洞
有安全團(tuán)隊(duì)發(fā)現(xiàn)了OpenAI的一個(gè)漏洞,基于這個(gè)漏洞,攻擊者可以無限白嫖ChatGPT的免費(fèi)額度,只要一個(gè)手機(jī)號(hào)就能注冊很多賬號(hào)。

大家好,我是軒轅。

注冊過ChatGPT API的朋友知道,新注冊的用戶,OpenAI免費(fèi)贈(zèng)送了5美元的使用額度。

一個(gè)賬號(hào)5美元,100個(gè)賬號(hào)可就是500美元啊,可以用很久了!

于是,有人就打起了壞主意,能不能找到OpenAI的bug,然后可以批量注冊賬號(hào),薅OpenAI的羊毛呢!

圖片

最近看到一篇國外的文章,有安全團(tuán)隊(duì)發(fā)現(xiàn)了OpenAI的一個(gè)漏洞,基于這個(gè)漏洞,攻擊者可以無限白嫖ChatGPT的免費(fèi)額度,只要一個(gè)手機(jī)號(hào)就能注冊很多賬號(hào)。

漏洞詳情

在講述如何利用這個(gè)漏洞之前,讓我先介紹一下ChatGPT的大致注冊過程:

  1. 注冊一個(gè)電子郵件
  2. 點(diǎn)擊電子郵件激活鏈接
  3. 輸入電話號(hào)碼
  4. 輸入通過短信接收到的驗(yàn)證代碼

其中,電子郵件和電話號(hào)碼都必須是唯一的,否則用戶將被告知該賬戶已經(jīng)存在,而且不會(huì)獲得免費(fèi)贈(zèng)送的5美元資源。

繞過驗(yàn)證

了解了這個(gè)過程之后,來深入研究一下OpenAI的注冊過程中的API。

在使用Burp代理攔截流量后,注意以下請求:

圖片

這個(gè)安全團(tuán)隊(duì)最初的想法是對(duì)手機(jī)號(hào)略微修改一下,讓它看起來像是一個(gè)新的號(hào)碼,比如添加國家代碼(00351):

圖片

來看服務(wù)器的響應(yīng):

圖片

看起來服務(wù)器并沒有識(shí)別出來這點(diǎn)小伎倆,按照這個(gè)思路,我們還可以繼續(xù)在手機(jī)號(hào)前面添加0,來創(chuàng)建更多的手機(jī)號(hào)的變種。

然而,零的數(shù)量可能是有限的,不可能無限制加啊,還有什么辦法可以搞到更多賬號(hào)呢?

這就該開源工具REcollapse派上用場了。這個(gè)工具可以用來進(jìn)行輸入Fuzz、繞過驗(yàn)證、發(fā)現(xiàn)Web應(yīng)用程序和API中的問題。

經(jīng)過一些初步測試,還真給他們發(fā)現(xiàn)了問題。在某些非ASCII字節(jié)上使用Unicode編碼后,就能繞過手機(jī)號(hào)檢查的邏輯,比如:

圖片

圖片

因?yàn)槭謾C(jī)號(hào)前面添加了0或者非ASCII字符,OpenAI服務(wù)器收到后在檢查是否有相同手機(jī)號(hào)的時(shí)候把它們當(dāng)成了不同的手機(jī)號(hào),而到后續(xù)要發(fā)送驗(yàn)證碼的環(huán)節(jié)后,OpenAI又會(huì)清除前綴零和不需要的字節(jié),以便能發(fā)送驗(yàn)證碼。

這樣的設(shè)計(jì)可能會(huì)導(dǎo)致大量甚至無限的不同值(例如,0123、00123、12\u000a3、001\u000a\u000b2\u000b3等)被視為唯一標(biāo)識(shí)符,在使用時(shí)折疊為一個(gè)值(123),從而完全繞過初始驗(yàn)證機(jī)制。

想要解決這個(gè)問題,可以在處理手機(jī)號(hào)這個(gè)字段之前進(jìn)行一個(gè)預(yù)處理,將其標(biāo)準(zhǔn)化,以便在后續(xù)的模塊使用時(shí)保障它是相同的手機(jī)號(hào)字符串。

漏洞披露

安全團(tuán)隊(duì)將該漏洞反饋給OpenAI后,收到了OpenAI的反饋:

再次感謝您提供詳細(xì)的報(bào)告。我們已驗(yàn)證了這個(gè)發(fā)現(xiàn)并修復(fù)了問題。

我們感謝您向我們報(bào)告此事,并遵守OpenAI的協(xié)調(diào)漏洞披露政策 (https://openai.com/policies/coordinated-vulnerability-disclosure-policy)。

下面是整個(gè)事件的時(shí)間軸:

  • 2022年12月2日 - 向OpenAI發(fā)送報(bào)告
  • 2022年12月6日 - OpenAI回復(fù)稱正在調(diào)查此問題
  • 2023年2月28日 - 我們請求有關(guān)此問題的更新
  • 2023年3月1日 - OpenAI回復(fù)稱問題已解決
  • 2023年5月4日 - 全面披露

這個(gè)漏洞如今既然已經(jīng)公開了,OpenAI自然是已經(jīng)修復(fù)好了,看到標(biāo)題點(diǎn)進(jìn)來以為有羊毛可薅的朋友們想法可就落空了!

不過軒轅這里還有羊毛可以薅~

圖片

https://chatgpt.ctfcode.com

上面是我自己搭建的ChatGPT網(wǎng)站,無需賬號(hào),無需魔法,打開就能用,電腦手機(jī)隨開隨用,不用花錢也能每天白嫖5次,歡迎大家來薅羊毛,戳左下角的“閱讀原文”也能一鍵打開!

責(zé)任編輯:武曉燕 來源: 編程技術(shù)宇宙
OpenAI漏洞注冊賬號(hào)
相關(guān)推薦

2015-05-28 10:39:35

漏洞iPhone手機(jī)安全

2021-10-19 15:33:04

微信手機(jī)號(hào)移動(dòng)應(yīng)用

2021-09-18 05:37:34

手機(jī)號(hào)一證通查微信

2023-11-30 22:54:15

2021-02-06 06:27:12

微信手機(jī)號(hào)移動(dòng)應(yīng)用

2014-11-27 13:28:55

信息泄露淘寶烏云

2013-07-02 10:36:47

Facebook搜集用戶手機(jī)號(hào)

2021-10-20 05:59:31

微信兩號(hào)社交騰訊

2011-12-20 09:03:05

2023-05-08 19:28:11

2025-01-20 15:22:55

2017-05-26 18:06:47

2022-01-04 14:27:30

蘋果iOS漏洞

2025-06-11 09:18:13

2023-10-12 08:22:21

2021-10-13 08:53:27

手機(jī)號(hào)賬號(hào)信息泄露

2022-07-15 10:19:40

漏洞網(wǎng)絡(luò)攻擊

2009-05-06 09:03:50

微軟Windows 7操作系統(tǒng)

2017-02-17 08:14:27

2021-10-11 09:29:59

美團(tuán)安全漏洞美團(tuán) App
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)