众所周知，每年，专业研究人员、经验丰富的渗透测试人员、bug赏金猎人和学者都会发表大量的博客文章、演示文稿、视频和白皮书。无论是提出新的攻击技术、混合老的技术，还是记录漏洞查找结果的，其中许多都包含可应用到其他地方的新思想。

经过社区投票和专家小组协商，PortSwigger选出2019年十大Web hacking技术。

我们每年都会与社区合作，寻找并分享十种我们认为经得起时间考验的技术。我们认为这十项技术是去年发表的最具创新性的网络安全研究的精华所在。

社区最爱：HTTP Desync Attacks

本次，得票最多的是HTTP Desync Attacks。我重新使用被人们遗忘很久的HTTP请求夹带攻击（HTTP Request Smuggling）技术，获得超过9万美金的bug赏金，两次入侵PayPal的登录页面，并在更广泛的社区中掀起一波漏洞查找热潮。

10.利用Null字节缓冲区溢出获得4万美元赏金

排在第10位的是内存安全漏洞（memory-safety exploit），来自Sam Curry和他的朋友们，它具有“心脏出血”漏洞般的风格。事实上，这个严重但容易被忽略的漏洞几乎肯定会影响其他网站。并且，它提醒我们，即使你是专家，仍然有某个地方可以让你简单地进行模糊处理，并且要密切关注任何意外情况的发生。

9.微软Edge（Chromium）： RCE中的潜在EoP

在这篇文章中，Abdulrhman Alqabandi 使用了一种混合了网络和二进制攻击的方法来伪造任何使用微软新型Chromium-Powered Edge（又名Edgium）访问其网站的人。

现在，提供了4万美元的漏洞赏金来对其进行修补，但是，它仍然是漏洞攻击链的一个典型例子，该漏洞攻击链结合多个低严重程度的漏洞，以实现其关键影响，它也很好地演示了如何通过特权来源将Web漏洞渗透到我们的桌面上。

8.像NSA一样渗透企业内网：在领先的SSL VPN中预授权RCE

Orange Tsai在SSL VPN中发现了多个未经验证的RCE漏洞。

VPN在互联网上享有的特权地位意味着，就纯粹的影响力而言，这已经是最好的结果了。尽管所采用的技术基本上都是经典的，但是它们使用了一些创造性的技巧，在这里我不打算剧透。这项研究催生了针对SSL VPN的审计浪潮，从而导致许多漏洞的发现，包括上周发布的一系列SonicWall漏洞。

7.作为Bug赏金猎人探索CI服务

现代网站是由许多依靠秘钥来识别彼此的服务拼凑而成的。一旦这些信息泄露，信任之网就会分崩离析。持续集成（CI）存储库/日志中的秘钥泄露是很常见的，而通过自动化查找它们的机率甚至会更高。

然而，EdOverflow等人的这项研究系统揭示了被忽视的案例和潜在的未来研究领域。这也很可能是热闹的站点/工具SSHGit的灵感来源。

6.所有进入.NET的都是XSS

Paweł Hałdrzyński 采用了.NET框架中一个鲜为人知的遗留特性，并展示了如何使用它来向任意端点上的URL路径添加任意内容，当我们意识到甚至是我们自己的网站也支持它时，我们感到了恐慌。

它让人联想到了RPO（Relative Path Overwrite）攻击，这是一个有时会触发漏洞攻击链的奥秘。在这篇文章中，它被用于XSS，但我们强烈怀疑将来它还会出现其他滥用的情况。

5.谷歌搜索XSS

谷歌搜索框可能是这个星球上经过最严格测试的输入了，因此Masato Kinugawa是如何对XSS进行管理的就令人费解了，直到他通过与同事LiveOverflow的合作才揭示了这一切。

这两段视频对如何通过阅读文档和模糊测试来发现DOM解析漏洞提供了详细介绍，并且它们还提供了一个难得的机会来让我们了解这一伟大开发背后的创造性。

4.针对未经身份验证的RCE滥用元编程

Orange Tsai在Jenkins中返回了一个预先授权的RCE，并在两篇文章中对其进行了介绍。身份验证绕过是不错的方法，但是我们最喜欢的创新是使用元编程来创建一个后门，该后门在面对众多环境限制的情况下在编译时执行。我们希望将来会再次看到元编程。

这也是继续研究的一个很好的例子，因为后来多个研究人员对该漏洞进行了改进。

3.通过服务器端请求伪造，以拥有影响力

Ben Sadeghipour和Cody Brocious的这次演讲首先概述了现有的SSRF技术，展示了如何将其改编并应用到服务器端的PDF生成器中，然后将DNS重新绑定引入到其中以获得优良效果。

针对PDF生成器的工作是对特性类的深入研究，这些特性类太容易被忽略了。我们首次看到服务器端浏览器上的DNS重新绑定是在2018年的提名名单上，应该由于是HTTPRebind的发布，才使这种攻击比之前更容易获得了。

最后，在这一点上我可能是错的，但我怀疑这个演示文稿还是值得称赞的，因为它最终说服Amazon考虑保护其EC2元数据终点。

2.跨站泄漏

跨站泄漏（Cross-site Leaks）已经持续很长时间了。早在10年前就有相关记录，并且在去年它悄悄进入到了我们的前十名，直到2019年，人们才意识到这一攻击级别及其数量的惊人变化。

如此大规模的信任很难分摊，但我们显然要感谢Eduardo Vela用新技术简明地介绍了这一概念，感谢他为建立已知的XS-Leak向量公开清单所作出的努力，而且研究人员应用XS-Leak技术取得了很好的效果。

XS-Leak已经对网络安全领域产生了持久的影响，因为它们在浏览器XSS过滤器的消亡中发挥了重要作用。块模式XSS过滤是造成XS-Leak向量的主要原因，这与更糟糕的过滤模式问题相结合，导致Edge和后来的Chrome都放弃了过滤器，这是网络安全的胜利，也是网络安全研究人员的灾难。

1.缓存与混淆：野生Web缓存的欺骗

在这篇学术白皮书中，Sajjad Arshad等人采用了Omer Gil的Web缓存欺骗技术（该技术在2017年我们的前十名中排名第二），并在Alexa排名前5000的网站上共享了对Web缓存欺骗漏洞的系统研究。

出于法律上的原因，大多数带有攻击性的安全研究都是在专业审计期间进行的，或是在有bug赏金计划的网站上进行的，但是通过谨慎的道德操守，这项研究可以使我们更广泛地了解网络的安全状态。借助精心设计的方法，它可以很容易地适应于其他技术，他们证明了Web缓存欺骗仍然是一种普遍存在的威胁。

除了方法论之外，另一个关键的创新是它引入了五种新的路径混淆技术，从而扩大了易受攻击网站的数量。在记录Web缓存提供程序的缓存行为方面，它们也比许多提供程序本身做得更好。总体而言，这是社区将现有研究转向新方向的一个极好的例子，也是当之无愧的第一名！

结论

除了上述十大web hacking技术，我们建议大家查看完整的查看完整的提名名单。

英文原文：

Top 10 web hacking techniques of 2019

创作场景

2019 年十大 Web Hacking 技术