写点什么

2019 年十大 Web Hacking 技术

  • 2020-04-11
  • 本文字数:2561 字

    阅读完需:约 8 分钟

2019年十大Web Hacking技术


众所周知,每年,专业研究人员、经验丰富的渗透测试人员、bug 赏金猎人和学者都会发表大量的博客文章、演示文稿、视频和白皮书。无论是提出新的攻击技术、混合老的技术,还是记录漏洞查找结果的,其中许多都包含可应用到其他地方的新思想。


经过社区投票和专家小组协商,PortSwigger 选出 2019 年十大 Web hacking 技术。


我们每年都会与社区合作,寻找并分享十种我们认为经得起时间考验的技术。我们认为这十项技术是去年发表的最具创新性的网络安全研究的精华所在。

社区最爱:HTTP Desync Attacks

本次,得票最多的是 HTTP Desync Attacks。我重新使用被人们遗忘很久的 HTTP 请求夹带攻击(HTTP Request Smuggling)技术,获得超过 9 万美金的 bug 赏金,两次入侵 PayPal 的登录页面,并在更广泛的社区中掀起一波漏洞查找热潮。

10.利用 Null 字节缓冲区溢出获得 4 万美元赏金

排在第 10 位的是内存安全漏洞(memory-safety exploit),来自Sam Curry和他的朋友们,它具有“心脏出血”漏洞般的风格。事实上,这个严重但容易被忽略的漏洞几乎肯定会影响其他网站。并且,它提醒我们,即使你是专家,仍然有某个地方可以让你简单地进行模糊处理,并且要密切关注任何意外情况的发生。

9.微软 Edge(Chromium): RCE中的潜在 EoP

在这篇文章中,Abdulrhman Alqabandi 使用了一种混合了网络和二进制攻击的方法来伪造任何使用微软新型 Chromium-Powered Edge(又名 Edgium)访问其网站的人。


现在,提供了 4 万美元的漏洞赏金来对其进行修补,但是,它仍然是漏洞攻击链的一个典型例子,该漏洞攻击链结合多个低严重程度的漏洞,以实现其关键影响,它也很好地演示了如何通过特权来源将 Web 漏洞渗透到我们的桌面上。

8.像 NSA 一样渗透企业内网:在领先的 SSL VPN 中预授权 RCE

Orange TsaiSSL VPN中发现了多个未经验证的 RCE 漏洞。


VPN 在互联网上享有的特权地位意味着,就纯粹的影响力而言,这已经是最好的结果了。尽管所采用的技术基本上都是经典的,但是它们使用了一些创造性的技巧,在这里我不打算剧透。这项研究催生了针对 SSL VPN 的审计浪潮,从而导致许多漏洞的发现,包括上周发布的一系列SonicWall漏洞

7.作为 Bug 赏金猎人探索 CI 服务

现代网站是由许多依靠秘钥来识别彼此的服务拼凑而成的。一旦这些信息泄露,信任之网就会分崩离析。持续集成(CI)存储库/日志中的秘钥泄露是很常见的,而通过自动化查找它们的机率甚至会更高。


然而,EdOverflow等人的这项研究系统揭示了被忽视的案例和潜在的未来研究领域。这也很可能是热闹的站点/工具SSHGit的灵感来源。

6.所有进入.NET 的都是XSS

Paweł Hałdrzyński 采用了.NET 框架中一个鲜为人知的遗留特性,并展示了如何使用它来向任意端点上的 URL 路径添加任意内容,当我们意识到甚至是我们自己的网站也支持它时,我们感到了恐慌。


它让人联想到了 RPO(Relative Path Overwrite)攻击,这是一个有时会触发漏洞攻击链的奥秘。在这篇文章中,它被用于 XSS,但我们强烈怀疑将来它还会出现其他滥用的情况。

5.谷歌搜索 XSS

谷歌搜索框可能是这个星球上经过最严格测试的输入了,因此Masato Kinugawa是如何对 XSS 进行管理的就令人费解了,直到他通过与同事LiveOverflow的合作才揭示了这一切。


这两段视频对如何通过阅读文档和模糊测试来发现DOM解析漏洞提供了详细介绍,并且它们还提供了一个难得的机会来让我们了解这一伟大开发背后的创造性。

4.针对未经身份验证的 RCE 滥用元编程

Orange Tsai 在 Jenkins 中返回了一个预先授权的 RCE,并在两篇文章中对其进行了介绍。身份验证绕过是不错的方法,但是我们最喜欢的创新是使用元编程来创建一个后门,该后门在面对众多环境限制的情况下在编译时执行。我们希望将来会再次看到元编程。


这也是继续研究的一个很好的例子,因为后来多个研究人员对该漏洞进行了改进

3.通过服务器端请求伪造,以拥有影响力

Ben SadeghipourCody Brocious这次演讲首先概述了现有的SSRF技术,展示了如何将其改编并应用到服务器端的 PDF 生成器中,然后将 DNS 重新绑定引入到其中以获得优良效果。


针对 PDF 生成器的工作是对特性类的深入研究,这些特性类太容易被忽略了。我们首次看到服务器端浏览器上的DNS重新绑定是在2018年的提名名单上,应该由于是 HTTPRebind 的发布,才使这种攻击比之前更容易获得了。


最后,在这一点上我可能是错的,但我怀疑这个演示文稿还是值得称赞的,因为它最终说服 Amazon 考虑保护其 EC2 元数据终点。

2.跨站泄漏

跨站泄漏(Cross-site Leaks)已经持续很长时间了。早在10年前就有相关记录,并且在去年它悄悄进入到了我们的前十名,直到 2019 年,人们才意识到这一攻击级别及其数量的惊人变化。


如此大规模的信任很难分摊,但我们显然要感谢Eduardo Vela用新技术简明地介绍了这一概念,感谢他为建立已知的XS-Leak向量公开清单所作出的努力,而且研究人员应用 XS-Leak 技术取得了很好的效果。


XS-Leak 已经对网络安全领域产生了持久的影响,因为它们在浏览器 XSS 过滤器的消亡中发挥了重要作用。块模式 XSS 过滤是造成 XS-Leak 向量的主要原因,这与更糟糕的过滤模式问题相结合,导致 Edge 和后来的 Chrome 都放弃了过滤器,这是网络安全的胜利,也是网络安全研究人员的灾难。

1.缓存与混淆:野生 Web 缓存的欺骗

这篇学术白皮书中,Sajjad Arshad等人采用了 Omer Gil 的Web缓存欺骗技术(该技术在 2017 年我们的前十名中排名第二),并在 Alexa 排名前 5000 的网站上共享了对 Web 缓存欺骗漏洞的系统研究。


出于法律上的原因,大多数带有攻击性的安全研究都是在专业审计期间进行的,或是在有 bug 赏金计划的网站上进行的,但是通过谨慎的道德操守,这项研究可以使我们更广泛地了解网络的安全状态。借助精心设计的方法,它可以很容易地适应于其他技术,他们证明了 Web 缓存欺骗仍然是一种普遍存在的威胁。


除了方法论之外,另一个关键的创新是它引入了五种新的路径混淆技术,从而扩大了易受攻击网站的数量。在记录 Web 缓存提供程序的缓存行为方面,它们也比许多提供程序本身做得更好。总体而言,这是社区将现有研究转向新方向的一个极好的例子,也是当之无愧的第一名!

结论

除了上述十大 web hacking 技术,我们建议大家查看完整的查看完整的提名名单


英文原文:


Top 10 web hacking techniques of 2019


2020-04-11 21:393390
用户头像

发布了 308 篇内容, 共 203.3 次阅读, 收获喜欢 599 次。

关注

评论

发布
暂无评论
发现更多内容

浅谈一下企业IT运维痛点以及好用的运维软件推荐

行云管家

云计算 运维 IT运维

全域Serverless化,华为云引领下一代云计算新范式

华为云开发者联盟

云计算 后端 华为云 华为云开发者联盟 企业号 7 月 PK 榜

创新 = 颠覆?AI创新如何做大蛋糕

华为云开发者联盟

人工智能 华为云 华为云开发者联盟 企业号 7 月 PK 榜

OpenCloudOS开源社区产品完成阿里云PolarDB数据库开源产品兼容适配

阿里云数据库开源

polarDB PolarDB-X PolarDB for PostgreSQL 阿里云PolarDB

用友BIP:企业数智化与信创化的完美结合

用友BIP

国产替代

如何快速理解复杂业务,系统思考问题?

阿里技术

理解业务 系统思考

国外虚拟主机为您提供高性能与稳定性的完美结合!

一只扑棱蛾子

虚拟主机 国外虚拟主机

中企出海,强大数智底座助力提升多维组织能力

用友BIP

数智底座 中企出海

如何避免在C#中出现混乱代码

互联网工科生

代码 代码编写

Ubuntu 20.04系统编译安装MySQL5.7教程。

百度搜索:蓝易云

MySQL 云计算 Linux ubuntu 运维

Ubuntu 20.04系统编译安装PHP教程。

百度搜索:蓝易云

php 云计算 Linux ubuntu 运维

MobTech 秒验审核流程指南

MobTech袤博科技

程序员 前端

为什么说Raft原生系统是流式数据的未来?

高端章鱼哥

raft raft共识算法

基于Taro开发京东小程序小记 | 京东云技术团队

京东科技开发者

小程序 taro 小程序管理 企业号 7 月 PK 榜

开创未来用户体验的新篇章 | 社区征文

HelloWorld杰少

年中技术盘点

ControlNet新玩法!一键生成AI艺术二维码QR

飞桨PaddlePaddle

人工智能 百度 paddle 飞桨 百度飞桨

微服务部署架起App开发运维的高速通道

Onegun

微服务 部署与维护 部署架构

GaussDB技术解读丨高级压缩

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 7 月 PK 榜

企业数智化国产替代,用友BIP的四大优势

用友BIP

国产替代

金融机构上堡垒机的三大理由看这里!

行云管家

网络安全 信息安全 金融 堡垒机

Flink CDC & MongoDB 联合实时数仓的探索实践

Apache Flink

大数据 flink 实时计算

Flink 遇见 Apache Celeborn:统一的数据 Shuffle 服务

Apache Flink

大数据 flink 实时计算

看大国重器用友BIP如何扛起中国企业数智化转型的使命担当

用友BIP

国产替代

装备制造行业人力资源数智化挑战,你遇到了几条?

用友BIP

人力资源 制造

软件测试/测试开发丨接口测试之Postman 安装与使用

测试人

Python 程序员 软件测试 Postman 接口测试

Nautlius Chain主网正式上线,模块Layer3时代正式开启

西柚子

QCN9074 QCN9024 What’s the Difference?|WIFI6E

wallyslilly

QCN9074 QCN9024

Python案例分析|使用Python图像处理库Pillow处理图像文件

TiAmo

Python 数据分析 图像操作

标准化,企业财务共享中心的灵魂内核(上)——建设路径避雷指南

用友BIP

财务共享

借助 Kubernetes 三步开启云原生之旅

NGINX开源社区

nginx NGINX Ingress Controller NGINX Kubernetes Gateway

2019年十大Web Hacking技术_安全_James Kettle_InfoQ精选文章