写点什么

2019 年十大 Web Hacking 技术

  • 2020-04-11
  • 本文字数:2561 字

    阅读完需:约 8 分钟

2019年十大Web Hacking技术


众所周知,每年,专业研究人员、经验丰富的渗透测试人员、bug 赏金猎人和学者都会发表大量的博客文章、演示文稿、视频和白皮书。无论是提出新的攻击技术、混合老的技术,还是记录漏洞查找结果的,其中许多都包含可应用到其他地方的新思想。


经过社区投票和专家小组协商,PortSwigger 选出 2019 年十大 Web hacking 技术。


我们每年都会与社区合作,寻找并分享十种我们认为经得起时间考验的技术。我们认为这十项技术是去年发表的最具创新性的网络安全研究的精华所在。

社区最爱:HTTP Desync Attacks

本次,得票最多的是 HTTP Desync Attacks。我重新使用被人们遗忘很久的 HTTP 请求夹带攻击(HTTP Request Smuggling)技术,获得超过 9 万美金的 bug 赏金,两次入侵 PayPal 的登录页面,并在更广泛的社区中掀起一波漏洞查找热潮。

10.利用 Null 字节缓冲区溢出获得 4 万美元赏金

排在第 10 位的是内存安全漏洞(memory-safety exploit),来自Sam Curry和他的朋友们,它具有“心脏出血”漏洞般的风格。事实上,这个严重但容易被忽略的漏洞几乎肯定会影响其他网站。并且,它提醒我们,即使你是专家,仍然有某个地方可以让你简单地进行模糊处理,并且要密切关注任何意外情况的发生。

9.微软 Edge(Chromium): RCE中的潜在 EoP

在这篇文章中,Abdulrhman Alqabandi 使用了一种混合了网络和二进制攻击的方法来伪造任何使用微软新型 Chromium-Powered Edge(又名 Edgium)访问其网站的人。


现在,提供了 4 万美元的漏洞赏金来对其进行修补,但是,它仍然是漏洞攻击链的一个典型例子,该漏洞攻击链结合多个低严重程度的漏洞,以实现其关键影响,它也很好地演示了如何通过特权来源将 Web 漏洞渗透到我们的桌面上。

8.像 NSA 一样渗透企业内网:在领先的 SSL VPN 中预授权 RCE

Orange TsaiSSL VPN中发现了多个未经验证的 RCE 漏洞。


VPN 在互联网上享有的特权地位意味着,就纯粹的影响力而言,这已经是最好的结果了。尽管所采用的技术基本上都是经典的,但是它们使用了一些创造性的技巧,在这里我不打算剧透。这项研究催生了针对 SSL VPN 的审计浪潮,从而导致许多漏洞的发现,包括上周发布的一系列SonicWall漏洞

7.作为 Bug 赏金猎人探索 CI 服务

现代网站是由许多依靠秘钥来识别彼此的服务拼凑而成的。一旦这些信息泄露,信任之网就会分崩离析。持续集成(CI)存储库/日志中的秘钥泄露是很常见的,而通过自动化查找它们的机率甚至会更高。


然而,EdOverflow等人的这项研究系统揭示了被忽视的案例和潜在的未来研究领域。这也很可能是热闹的站点/工具SSHGit的灵感来源。

6.所有进入.NET 的都是XSS

Paweł Hałdrzyński 采用了.NET 框架中一个鲜为人知的遗留特性,并展示了如何使用它来向任意端点上的 URL 路径添加任意内容,当我们意识到甚至是我们自己的网站也支持它时,我们感到了恐慌。


它让人联想到了 RPO(Relative Path Overwrite)攻击,这是一个有时会触发漏洞攻击链的奥秘。在这篇文章中,它被用于 XSS,但我们强烈怀疑将来它还会出现其他滥用的情况。

5.谷歌搜索 XSS

谷歌搜索框可能是这个星球上经过最严格测试的输入了,因此Masato Kinugawa是如何对 XSS 进行管理的就令人费解了,直到他通过与同事LiveOverflow的合作才揭示了这一切。


这两段视频对如何通过阅读文档和模糊测试来发现DOM解析漏洞提供了详细介绍,并且它们还提供了一个难得的机会来让我们了解这一伟大开发背后的创造性。

4.针对未经身份验证的 RCE 滥用元编程

Orange Tsai 在 Jenkins 中返回了一个预先授权的 RCE,并在两篇文章中对其进行了介绍。身份验证绕过是不错的方法,但是我们最喜欢的创新是使用元编程来创建一个后门,该后门在面对众多环境限制的情况下在编译时执行。我们希望将来会再次看到元编程。


这也是继续研究的一个很好的例子,因为后来多个研究人员对该漏洞进行了改进

3.通过服务器端请求伪造,以拥有影响力

Ben SadeghipourCody Brocious这次演讲首先概述了现有的SSRF技术,展示了如何将其改编并应用到服务器端的 PDF 生成器中,然后将 DNS 重新绑定引入到其中以获得优良效果。


针对 PDF 生成器的工作是对特性类的深入研究,这些特性类太容易被忽略了。我们首次看到服务器端浏览器上的DNS重新绑定是在2018年的提名名单上,应该由于是 HTTPRebind 的发布,才使这种攻击比之前更容易获得了。


最后,在这一点上我可能是错的,但我怀疑这个演示文稿还是值得称赞的,因为它最终说服 Amazon 考虑保护其 EC2 元数据终点。

2.跨站泄漏

跨站泄漏(Cross-site Leaks)已经持续很长时间了。早在10年前就有相关记录,并且在去年它悄悄进入到了我们的前十名,直到 2019 年,人们才意识到这一攻击级别及其数量的惊人变化。


如此大规模的信任很难分摊,但我们显然要感谢Eduardo Vela用新技术简明地介绍了这一概念,感谢他为建立已知的XS-Leak向量公开清单所作出的努力,而且研究人员应用 XS-Leak 技术取得了很好的效果。


XS-Leak 已经对网络安全领域产生了持久的影响,因为它们在浏览器 XSS 过滤器的消亡中发挥了重要作用。块模式 XSS 过滤是造成 XS-Leak 向量的主要原因,这与更糟糕的过滤模式问题相结合,导致 Edge 和后来的 Chrome 都放弃了过滤器,这是网络安全的胜利,也是网络安全研究人员的灾难。

1.缓存与混淆:野生 Web 缓存的欺骗

这篇学术白皮书中,Sajjad Arshad等人采用了 Omer Gil 的Web缓存欺骗技术(该技术在 2017 年我们的前十名中排名第二),并在 Alexa 排名前 5000 的网站上共享了对 Web 缓存欺骗漏洞的系统研究。


出于法律上的原因,大多数带有攻击性的安全研究都是在专业审计期间进行的,或是在有 bug 赏金计划的网站上进行的,但是通过谨慎的道德操守,这项研究可以使我们更广泛地了解网络的安全状态。借助精心设计的方法,它可以很容易地适应于其他技术,他们证明了 Web 缓存欺骗仍然是一种普遍存在的威胁。


除了方法论之外,另一个关键的创新是它引入了五种新的路径混淆技术,从而扩大了易受攻击网站的数量。在记录 Web 缓存提供程序的缓存行为方面,它们也比许多提供程序本身做得更好。总体而言,这是社区将现有研究转向新方向的一个极好的例子,也是当之无愧的第一名!

结论

除了上述十大 web hacking 技术,我们建议大家查看完整的查看完整的提名名单


英文原文:


Top 10 web hacking techniques of 2019


2020-04-11 21:393358
用户头像

发布了 300 篇内容, 共 195.2 次阅读, 收获喜欢 597 次。

关注

评论

发布
暂无评论
发现更多内容

最大和的连续子数组

龙空白白

数据结构与算法

股票获取最大利润

龙空白白

数据结构与算法

Django 基础教程

海拥(haiyong.site)

Python django 6月月更

子网划分不会?瑞哥带你深入理解IP地址,手把手教你子网划分!

wljslmz

网络技术 6月月更 子网划分

Linux编程_网页视频监控项目

DS小龙哥

6月月更

InfoQ 极客传媒 15 周年庆征文|【Python技能树共建】异常捕获预处理

梦想橡皮擦

Python 6月月更 InfoQ极客传媒15周年庆

SAP 云平台多目标应用 Multi-Target Application 的开发技术介绍

汪子熙

云原生 Cloud SAP CloudFoundry 6月月更

java中synchronized关键字

龙空白白

Java Concurrency

Linux测试端口的连通性

龙空白白

NFT链游GameFi系统开发,元宇宙游戏搭建

薇電13242772558

NFT 元宇宙 链游

mixin-- 混入

CRMEB

硬核剧透!11个议题、14位大咖,龙蜥社区走进 Intel MeetUp 议程公布!

OpenAnolis小助手

技术分享 intel Meetup 龙蜥社区 线上直播

MySQL基础

龙空白白

MySQL 数据库

多线程实现的方式

龙空白白

多线程

二分查找有序数组中的特定值

龙空白白

数据结构与算法

怎样简洁明了地说清楚产品需求?

LigaAI

高效工作 产品经理 需求 产品设计与思考

【高并发】关于乐观锁和悲观锁,蚂蚁金服面试官问了我这几个问题!!

冰河

并发编程 多线程 高并发 异步编程 6月月更

Java中的static关键字

龙空白白

数组判断任意出现的重复值

龙空白白

数据结构与算法

【LeetCode】替换数组中的元素Java题解

Albert

LeetCode 6月月更

悬赏任务源码开发设计构建时,要留意哪些事项

开源直播系统源码

源码 软件开发 直播系统 悬赏任务源码

ES6新特性class类

大熊G

JavaScript 前端 6月月更

HPCA名人堂成员蒋晓维博士,任职大禹智芯首席科学家

硬科技星球

人工智能 阿里巴巴 大禹智芯 蒋晓维

Neo 黑客松获奖名单揭晓,上万美金花落谁家?

TinTinLand

区块链

百度工程师教你玩转设计模式(单例模式)

百度Geek说

设计模式

NFT铸造交易平台开发市场详情

开发微hkkf5566

Vim编辑器以及linux常用命令

龙空白白

Linux vim教程

MySQL的体系结构

龙空白白

MySQL 数据库

数组目标值target两个整数,并返回它们的数组下标

龙空白白

数据结构与算法

ADB 日志抓取

甜甜的白桃

android adb APK 6月月更

开源字节设计思想

源字节1号

软件开发

2019年十大Web Hacking技术_安全_James Kettle_InfoQ精选文章