2019年十大Web Hacking技术

2020 年 4 月 11 日

2019年十大Web Hacking技术

众所周知,每年,专业研究人员、经验丰富的渗透测试人员、bug 赏金猎人和学者都会发表大量的博客文章、演示文稿、视频和白皮书。无论是提出新的攻击技术、混合老的技术,还是记录漏洞查找结果的,其中许多都包含可应用到其他地方的新思想。

经过社区投票和专家小组协商,PortSwigger 选出 2019 年十大 Web hacking 技术。

我们每年都会与社区合作,寻找并分享十种我们认为经得起时间考验的技术。我们认为这十项技术是去年发表的最具创新性的网络安全研究的精华所在。

社区最爱:HTTP Desync Attacks

本次,得票最多的是 HTTP Desync Attacks。我重新使用被人们遗忘很久的 HTTP 请求夹带攻击( HTTP Request Smuggling )技术,获得超过 9 万美金的 bug 赏金,两次入侵 PayPal 的登录页面,并在更广泛的社区中掀起一波漏洞查找热潮。

10. 利用 Null 字节缓冲区溢出获得 4 万美元赏金

排在第 10 位的是内存安全漏洞( memory-safety exploit ),来自 Sam Curry 和他的朋友们,它具有“心脏出血”漏洞般的风格。事实上,这个严重但容易被忽略的漏洞几乎肯定会影响其他网站。并且,它提醒我们,即使你是专家,仍然有某个地方可以让你简单地进行模糊处理,并且要密切关注任何意外情况的发生。

9. 微软 Edge(Chromium): RCE 中的潜在 EoP

在这篇文章中, Abdulrhman Alqabandi   使用了一种混合了网络和二进制攻击的方法来伪造任何使用微软新型Chromium-Powered Edge(又名Edgium)访问其网站的人。

现在,提供了4 万美元的漏洞赏金来对其进行修补,但是,它仍然是漏洞攻击链的一个典型例子,该漏洞攻击链结合多个低严重程度的漏洞,以实现其关键影响,它也很好地演示了如何通过特权来源将Web 漏洞渗透到我们的桌面上。

8. 像 NSA 一样渗透企业内网:在领先的 SSL VPN 中预授权 RCE

Orange Tsai SSL VPN 中发现了多个未经验证的 RCE 漏洞。

VPN 在互联网上享有的特权地位意味着,就纯粹的影响力而言,这已经是最好的结果了。尽管所采用的技术基本上都是经典的,但是它们使用了一些创造性的技巧,在这里我不打算剧透。这项研究催生了针对 SSL VPN 的审计浪潮,从而导致许多漏洞的发现,包括上周发布的一系列 SonicWall 漏洞

7. 作为 Bug 赏金猎人探索 CI 服务

现代网站是由许多依靠秘钥来识别彼此的服务拼凑而成的。一旦这些信息泄露,信任之网就会分崩离析。持续集成(CI)存储库 / 日志中的秘钥泄露是很常见的,而通过自动化查找它们的机率甚至会更高。

然而, EdOverflow 等人的这项研究系统揭示了被忽视的案例和潜在的未来研究领域。这也很可能是热闹的站点/ 工具 SSHGit 的灵感来源。

6. 所有进入.NET 的都是 XSS

Paweł Hałdrzyński 采用了.NET 框架中一个鲜为人知的遗留特性,并展示了如何使用它来向任意端点上的URL 路径添加任意内容,当我们意识到甚至是我们自己的网站也支持它时,我们感到了恐慌。

它让人联想到了RPO( Relative Path Overwrite )攻击,这是一个有时会触发漏洞攻击链的奥秘。在这篇文章中,它被用于 XSS,但我们强烈怀疑将来它还会出现其他滥用的情况。

5. 谷歌搜索 XSS

谷歌搜索框可能是这个星球上经过最严格测试的输入了,因此 Masato Kinugawa 是如何对 XSS 进行管理的就令人费解了,直到他通过与同事 LiveOverflow 的合作才揭示了这一切。

这两段视频对如何通过阅读文档和模糊测试来发现DOM 解析漏洞提供了详细介绍,并且它们还提供了一个难得的机会来让我们了解这一伟大开发背后的创造性。

4. 针对未经身份验证的 RCE 滥用元编程

Orange Tsai 在 Jenkins 中返回了一个预先授权的 RCE,并在两篇文章中对其进行了介绍。身份验证绕过是不错的方法,但是我们最喜欢的创新是使用元编程来创建一个后门,该后门在面对众多环境限制的情况下在编译时执行。我们希望将来会再次看到元编程。

这也是继续研究的一个很好的例子,因为后来多个研究人员对该漏洞进行了改进

3. 通过服务器端请求伪造,以拥有影响力

Ben Sadeghipour Cody Brocious 这次演讲首先概述了现有的 SSRF 技术,展示了如何将其改编并应用到服务器端的 PDF 生成器中,然后将 DNS 重新绑定引入到其中以获得优良效果。

针对 PDF 生成器的工作是对特性类的深入研究,这些特性类太容易被忽略了。我们首次看到服务器端浏览器上的DNS 重新绑定是在 2018 年的提名名单上,应该由于是 HTTPRebind 的发布,才使这种攻击比之前更容易获得了。

最后,在这一点上我可能是错的,但我怀疑这个演示文稿还是值得称赞的,因为它最终说服 Amazon 考虑保护其 EC2 元数据终点。

2. 跨站泄漏

跨站泄漏(Cross-site Leaks)已经持续很长时间了。早在10 年前就有相关记录,并且在去年它悄悄进入到了我们的前十名,直到2019 年,人们才意识到这一攻击级别及其数量的惊人变化。

如此大规模的信任很难分摊,但我们显然要感谢 Eduardo Vela 用新技术简明地介绍了这一概念,感谢他为建立已知的XS-Leak 向量公开清单所作出的努力,而且研究人员应用XS-Leak 技术取得了很好的效果。

XS-Leak 已经对网络安全领域产生了持久的影响,因为它们在浏览器 XSS 过滤器的消亡中发挥了重要作用。块模式 XSS 过滤是造成 XS-Leak 向量的主要原因,这与更糟糕的过滤模式问题相结合,导致Edge 和后来的Chrome 都放弃了过滤器,这是网络安全的胜利,也是网络安全研究人员的灾难。

1. 缓存与混淆:野生 Web 缓存的欺骗

这篇学术白皮书中, Sajjad Arshad 等人采用了 Omer Gil 的 Web 缓存欺骗技术(该技术在 2017 年我们的前十名中排名第二),并在 Alexa 排名前 5000 的网站上共享了对 Web 缓存欺骗漏洞的系统研究。

出于法律上的原因,大多数带有攻击性的安全研究都是在专业审计期间进行的,或是在有 bug 赏金计划的网站上进行的,但是通过谨慎的道德操守,这项研究可以使我们更广泛地了解网络的安全状态。借助精心设计的方法,它可以很容易地适应于其他技术,他们证明了 Web 缓存欺骗仍然是一种普遍存在的威胁。

除了方法论之外,另一个关键的创新是它引入了五种新的路径混淆技术,从而扩大了易受攻击网站的数量。在记录 Web 缓存提供程序的缓存行为方面,它们也比许多提供程序本身做得更好。总体而言,这是社区将现有研究转向新方向的一个极好的例子,也是当之无愧的第一名!

结论

除了上述十大 web hacking 技术,我们建议大家查看完整的查看完整的提名名单

英文原文:

Top 10 web hacking techniques of 2019

2020 年 4 月 11 日 21:39 2485
用户头像

发布了 119 篇内容, 共 47.9 次阅读, 收获喜欢 271 次。

关注

评论

发布
暂无评论
发现更多内容

JVM 内存模型、字节码、垃圾回收面试要点

escray

面试 学习笔记 垃圾回收 字节码 面试现场

【读书笔记一】《企业IT架构转型之道-阿里巴巴中台战略思想与架构实战》

Man

中台 阿里 中台战略

面经手册 · 第8篇《LinkedList插入速度比ArrayList快?你确定吗?》

小傅哥

Java 数据结构 小傅哥 面试题 linkedlist

Flink检查点、保存点及状态恢复-13

小知识点

scala 大数据 flink

一键洞察全量SQL ,远离性能异常

华为云开发者社区

数据库 sql 大数据 数据治理 华为云

区块链支付系统开发方案,usdt跑分系统搭建

WX13823153201

OpenKruise:Kubernetes 核心控制器 Plus

郭旭东

Kubernetes 云原生 OpenKruise

架构师训练营第十二周总结

张明森

oeasy教您玩转linux010109clear清屏

o

基于Apache Doris的小米增长分析平台实践

DorisDB

数据分析 用户增长 apache doris 分析型数据库 用户行为分析

数字化转型需要低/零代码平台的支持

代码制造者

低代码 数字化转型 企业信息化 零代码 编程开发

翻转链表算法、自动化测试框架robot-framework、两款iOS 在手机端debugging 工具Flex、啄木鸟、加密技术 高可用系统的度量 高可用系统的架构 高可用系统的运维 John 易筋 ARTS 打卡 Week 15

John(易筋)

ARTS 打卡计划 高可用系统的架构 翻转链表 自动化测试Robot 手机调试工具Flex

一个空格引发的“救火之旅” - 记一次 SOFA RPC 的排查过程

阿里云金融线TAM SRE专家服务团队

大事情!中国限制 AI 算法出口。网友:这是要阻止XX“下跪”

程序员生活志

5G边缘计算:开源架起5G MEC生态发展新通路

华为云开发者社区

开源 5G 边缘计算 公有云 EdgeGallery

银行大数据新玩法,构建“一湖两库”金融数据湖

华为云开发者社区

大数据 数据湖 FusionInsight MRS DWS

一文带你深扒ClassLoader内核,揭开它的神秘面纱!

我没有三颗心脏

Java ClassLoader java基础 类加载器

Redis常见问题--单线程

是老郭啊

nosql redis 线程

Spring整合WebSocket

牛初九

雪花算法把玩

ElvinYang

30年技术积累,技术流RTC如何成为视频直播领域的黑马?

华为云开发者社区

云计算 AI 5G RTC 华为云

软件产品的创新与宇宙奇点大爆炸

常平

方法论 产品思维 架构思维

Docker 镜像的备份恢复迁移

哈喽沃德先生

Docker 容器 微服务 镜像 容器技术

mPaas研发流程和线上运维介绍

阿里云金融线TAM SRE专家服务团队

ios android

LeetCode题解:155. 最小栈,单个栈同时存储最小值,JavaScript,详细注释

Lee Chen

LeetCode 前端进阶训练营

高并发系统三大利器之降级

java金融

k8s-client-go源码剖析(二)

LanLiang

go Kubernetes 源码剖析

Redis常见问题--哈希冲突

是老郭啊

哈希表 Redis项目

麦叔告诉你,Linux下安装nginx都踩了那些坑

麦叔

nginx #linux

oeasy教您玩转linux010108到底哪个which

o

pandas ~基础pandas

南辞

Python

13.9k Star, 3.6k Fork,技术人如何从0到1打造成功的开源软件

13.9k Star, 3.6k Fork,技术人如何从0到1打造成功的开源软件

2019年十大Web Hacking技术-InfoQ