Entrada

Web LLM Attacks Lab 1

Publicado Actualizado
Preview Image
Por Justice-Reaper
1 min de lectura
Web LLM Attacks Lab 1

Skills

  • Exploiting LLM APIs with excessive agency

Certificaciones

  • eWPT
  • eWPTXv2
  • OSWE
  • BSCP

Descripción

Para resolver el laboratorio, usemos el LLM para eliminar al usuario carlos

Resolución

Al acceder a la web nos sale esto

Pulsamos sobre Live chat y vemos que hay un chat de IA. Este tipo de chats suelen ser LLM's, un tipo de modelo de IA entrenado con grandes volúmenes de texto para procesar y generar lenguaje natural. Estos modelos, como ChatGPT, son una subcategoría dentro del NLP (Natural Language Processing) y se especializan en tareas como traducción, resumen, análisis de texto y generación de respuestas

Lo primero que tenemos que hacer para poder vulnerar este servicio es saber a que API's y plugins tiene acceso

Le pedido a la IA que liste todos los usuarios de la base de datos y su información

Pulsamos sobre My account y nos logueamos como el usuario carlos

Pulsamos sobre Delete account y eliminamos la cuenta del usuario carlos

Portswigger, Web LLM Attacks
Web LLM Attacks Exploiting LLM APIs with excessive agency
Esta entrada está licenciada bajo CC BY 4.0 por el autor.