红帽白皮书新鲜出炉!点击获取,让你的云战略更胜一筹! 了解详情
写点什么

2019 年十大 Web Hacking 技术

  • 2020-04-11
  • 本文字数:2561 字

    阅读完需:约 8 分钟

2019年十大Web Hacking技术


众所周知,每年,专业研究人员、经验丰富的渗透测试人员、bug 赏金猎人和学者都会发表大量的博客文章、演示文稿、视频和白皮书。无论是提出新的攻击技术、混合老的技术,还是记录漏洞查找结果的,其中许多都包含可应用到其他地方的新思想。


经过社区投票和专家小组协商,PortSwigger 选出 2019 年十大 Web hacking 技术。


我们每年都会与社区合作,寻找并分享十种我们认为经得起时间考验的技术。我们认为这十项技术是去年发表的最具创新性的网络安全研究的精华所在。

社区最爱:HTTP Desync Attacks

本次,得票最多的是 HTTP Desync Attacks。我重新使用被人们遗忘很久的 HTTP 请求夹带攻击(HTTP Request Smuggling)技术,获得超过 9 万美金的 bug 赏金,两次入侵 PayPal 的登录页面,并在更广泛的社区中掀起一波漏洞查找热潮。

10.利用 Null 字节缓冲区溢出获得 4 万美元赏金

排在第 10 位的是内存安全漏洞(memory-safety exploit),来自Sam Curry和他的朋友们,它具有“心脏出血”漏洞般的风格。事实上,这个严重但容易被忽略的漏洞几乎肯定会影响其他网站。并且,它提醒我们,即使你是专家,仍然有某个地方可以让你简单地进行模糊处理,并且要密切关注任何意外情况的发生。

9.微软 Edge(Chromium): RCE中的潜在 EoP

在这篇文章中,Abdulrhman Alqabandi 使用了一种混合了网络和二进制攻击的方法来伪造任何使用微软新型 Chromium-Powered Edge(又名 Edgium)访问其网站的人。


现在,提供了 4 万美元的漏洞赏金来对其进行修补,但是,它仍然是漏洞攻击链的一个典型例子,该漏洞攻击链结合多个低严重程度的漏洞,以实现其关键影响,它也很好地演示了如何通过特权来源将 Web 漏洞渗透到我们的桌面上。

8.像 NSA 一样渗透企业内网:在领先的 SSL VPN 中预授权 RCE

Orange TsaiSSL VPN中发现了多个未经验证的 RCE 漏洞。


VPN 在互联网上享有的特权地位意味着,就纯粹的影响力而言,这已经是最好的结果了。尽管所采用的技术基本上都是经典的,但是它们使用了一些创造性的技巧,在这里我不打算剧透。这项研究催生了针对 SSL VPN 的审计浪潮,从而导致许多漏洞的发现,包括上周发布的一系列SonicWall漏洞

7.作为 Bug 赏金猎人探索 CI 服务

现代网站是由许多依靠秘钥来识别彼此的服务拼凑而成的。一旦这些信息泄露,信任之网就会分崩离析。持续集成(CI)存储库/日志中的秘钥泄露是很常见的,而通过自动化查找它们的机率甚至会更高。


然而,EdOverflow等人的这项研究系统揭示了被忽视的案例和潜在的未来研究领域。这也很可能是热闹的站点/工具SSHGit的灵感来源。

6.所有进入.NET 的都是XSS

Paweł Hałdrzyński 采用了.NET 框架中一个鲜为人知的遗留特性,并展示了如何使用它来向任意端点上的 URL 路径添加任意内容,当我们意识到甚至是我们自己的网站也支持它时,我们感到了恐慌。


它让人联想到了 RPO(Relative Path Overwrite)攻击,这是一个有时会触发漏洞攻击链的奥秘。在这篇文章中,它被用于 XSS,但我们强烈怀疑将来它还会出现其他滥用的情况。

5.谷歌搜索 XSS

谷歌搜索框可能是这个星球上经过最严格测试的输入了,因此Masato Kinugawa是如何对 XSS 进行管理的就令人费解了,直到他通过与同事LiveOverflow的合作才揭示了这一切。


这两段视频对如何通过阅读文档和模糊测试来发现DOM解析漏洞提供了详细介绍,并且它们还提供了一个难得的机会来让我们了解这一伟大开发背后的创造性。

4.针对未经身份验证的 RCE 滥用元编程

Orange Tsai 在 Jenkins 中返回了一个预先授权的 RCE,并在两篇文章中对其进行了介绍。身份验证绕过是不错的方法,但是我们最喜欢的创新是使用元编程来创建一个后门,该后门在面对众多环境限制的情况下在编译时执行。我们希望将来会再次看到元编程。


这也是继续研究的一个很好的例子,因为后来多个研究人员对该漏洞进行了改进

3.通过服务器端请求伪造,以拥有影响力

Ben SadeghipourCody Brocious这次演讲首先概述了现有的SSRF技术,展示了如何将其改编并应用到服务器端的 PDF 生成器中,然后将 DNS 重新绑定引入到其中以获得优良效果。


针对 PDF 生成器的工作是对特性类的深入研究,这些特性类太容易被忽略了。我们首次看到服务器端浏览器上的DNS重新绑定是在2018年的提名名单上,应该由于是 HTTPRebind 的发布,才使这种攻击比之前更容易获得了。


最后,在这一点上我可能是错的,但我怀疑这个演示文稿还是值得称赞的,因为它最终说服 Amazon 考虑保护其 EC2 元数据终点。

2.跨站泄漏

跨站泄漏(Cross-site Leaks)已经持续很长时间了。早在10年前就有相关记录,并且在去年它悄悄进入到了我们的前十名,直到 2019 年,人们才意识到这一攻击级别及其数量的惊人变化。


如此大规模的信任很难分摊,但我们显然要感谢Eduardo Vela用新技术简明地介绍了这一概念,感谢他为建立已知的XS-Leak向量公开清单所作出的努力,而且研究人员应用 XS-Leak 技术取得了很好的效果。


XS-Leak 已经对网络安全领域产生了持久的影响,因为它们在浏览器 XSS 过滤器的消亡中发挥了重要作用。块模式 XSS 过滤是造成 XS-Leak 向量的主要原因,这与更糟糕的过滤模式问题相结合,导致 Edge 和后来的 Chrome 都放弃了过滤器,这是网络安全的胜利,也是网络安全研究人员的灾难。

1.缓存与混淆:野生 Web 缓存的欺骗

这篇学术白皮书中,Sajjad Arshad等人采用了 Omer Gil 的Web缓存欺骗技术(该技术在 2017 年我们的前十名中排名第二),并在 Alexa 排名前 5000 的网站上共享了对 Web 缓存欺骗漏洞的系统研究。


出于法律上的原因,大多数带有攻击性的安全研究都是在专业审计期间进行的,或是在有 bug 赏金计划的网站上进行的,但是通过谨慎的道德操守,这项研究可以使我们更广泛地了解网络的安全状态。借助精心设计的方法,它可以很容易地适应于其他技术,他们证明了 Web 缓存欺骗仍然是一种普遍存在的威胁。


除了方法论之外,另一个关键的创新是它引入了五种新的路径混淆技术,从而扩大了易受攻击网站的数量。在记录 Web 缓存提供程序的缓存行为方面,它们也比许多提供程序本身做得更好。总体而言,这是社区将现有研究转向新方向的一个极好的例子,也是当之无愧的第一名!

结论

除了上述十大 web hacking 技术,我们建议大家查看完整的查看完整的提名名单


英文原文:


Top 10 web hacking techniques of 2019


2020-04-11 21:393135
用户头像

发布了 255 篇内容, 共 145.1 次阅读, 收获喜欢 576 次。

关注

评论

发布
暂无评论
发现更多内容

【Mysql-InnoDB 系列】锁

程序员架构进阶

MySQL innodb 28天写作

在时间的缝隙里打了个盹「幻想短篇 4/28」

道伟

28天写作

Dubbo 就是靠它崭露头角!

yes

dubbo 后端 RPC

[2/28]保障业务转化为开发需求

L3C老司机

【薪火计划】11 - 学习总结

AR7

管理 28天写作

自动驾驶到底应该怎么实现?(28天写作 Day4/28)

mtfelix

自动驾驶 28天写作 智能电动车

新官上任,如何开始你的管理工作(下)

一笑

团队管理 管理 28天写作

这5个让人窒息的烂代码,你看完都忍不了

华为云开发者联盟

GitHub 代码 代码注释 null

甲方日常 83

句子

工作 随笔杂谈 日常

为什么泡泡玛特是一个好生意

lidaobing

28天写作 泡泡玛特

SpringCloud 从入门到精通 06--- Eureka服务端

Felix

SpringCloud 从入门到精通 07--- 订单服务和支付服务注册进Eureka

Felix

智能合约APP开发|智能合约系统软件开发

系统开发

我是如何在短期内快速掌握Dubbo的原理和源码的(纯干货)?

冰河

分布式 微服务 dubbo 系统架构 服务治理

hive JOIN操作分析

梧桐

HDFS SHELL详解(5)

罗小龙

hadoop 28天写作 hdfs shell

【JS】防止浏览器控制台被直接查看(2)

德育处主任

JavaScript chrome 大前端 js 28天写作

技术干货!HDFS读写原理和代码简单实现

华为云开发者联盟

hadoop hdfs 架构 MRS 元数据

距离Java开发者玩转 Serverless,到底还有多远?

博文视点Broadview

Python解释器和IPython

程序那些事

Python 数据分析 ipython 程序那些事 Python解释器

影响DevOps和DevSecOps采用的7种趋势

啸天

安全 DevSecOps 应用安全

28天瞎写的第二百一五天:为了看片儿折腾 Linux 的故事

树上

28天写作

技术人小故事-团队愿景篇-第4段

Ian哥

28天写作

微服务该如何拆分?

xcbeyond

微服务 方法论 架构设计原则 28天写作

作为社畜,如何做好精力管理

熊斌

精力管理 28天写作

基于网络开放可编程技术构建新一代网络设备运管平台

华为云开发者联盟

运维 网络 运维自动化 金融

生产环境全链路压测建设历程 27:FAQ 之 业务模型相关

数列科技杨德华

28天写作

没有调查,就没有发言权 Jan 12, 2021

王泰

28天写作

做视频最大的困难是什么?为什么要保持日更? | 视频号 28 天 (05)

赵新龙

28天写作

kafka如何做到无消息丢失配置

topsion

kafka 消息不丢失

Elasticsearch 核心概念

escray

elasticsearch elastic 28天写作 死磕Elasticsearch 60天通过Elastic认证考试

2019年十大Web Hacking技术_安全_James Kettle_InfoQ精选文章