HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

2019 年十大 Web Hacking 技术

  • 2020-04-11
  • 本文字数:2561 字

    阅读完需:约 8 分钟

2019年十大Web Hacking技术


众所周知,每年,专业研究人员、经验丰富的渗透测试人员、bug 赏金猎人和学者都会发表大量的博客文章、演示文稿、视频和白皮书。无论是提出新的攻击技术、混合老的技术,还是记录漏洞查找结果的,其中许多都包含可应用到其他地方的新思想。


经过社区投票和专家小组协商,PortSwigger 选出 2019 年十大 Web hacking 技术。


我们每年都会与社区合作,寻找并分享十种我们认为经得起时间考验的技术。我们认为这十项技术是去年发表的最具创新性的网络安全研究的精华所在。

社区最爱:HTTP Desync Attacks

本次,得票最多的是 HTTP Desync Attacks。我重新使用被人们遗忘很久的 HTTP 请求夹带攻击(HTTP Request Smuggling)技术,获得超过 9 万美金的 bug 赏金,两次入侵 PayPal 的登录页面,并在更广泛的社区中掀起一波漏洞查找热潮。

10.利用 Null 字节缓冲区溢出获得 4 万美元赏金

排在第 10 位的是内存安全漏洞(memory-safety exploit),来自Sam Curry和他的朋友们,它具有“心脏出血”漏洞般的风格。事实上,这个严重但容易被忽略的漏洞几乎肯定会影响其他网站。并且,它提醒我们,即使你是专家,仍然有某个地方可以让你简单地进行模糊处理,并且要密切关注任何意外情况的发生。

9.微软 Edge(Chromium): RCE中的潜在 EoP

在这篇文章中,Abdulrhman Alqabandi 使用了一种混合了网络和二进制攻击的方法来伪造任何使用微软新型 Chromium-Powered Edge(又名 Edgium)访问其网站的人。


现在,提供了 4 万美元的漏洞赏金来对其进行修补,但是,它仍然是漏洞攻击链的一个典型例子,该漏洞攻击链结合多个低严重程度的漏洞,以实现其关键影响,它也很好地演示了如何通过特权来源将 Web 漏洞渗透到我们的桌面上。

8.像 NSA 一样渗透企业内网:在领先的 SSL VPN 中预授权 RCE

Orange TsaiSSL VPN中发现了多个未经验证的 RCE 漏洞。


VPN 在互联网上享有的特权地位意味着,就纯粹的影响力而言,这已经是最好的结果了。尽管所采用的技术基本上都是经典的,但是它们使用了一些创造性的技巧,在这里我不打算剧透。这项研究催生了针对 SSL VPN 的审计浪潮,从而导致许多漏洞的发现,包括上周发布的一系列SonicWall漏洞

7.作为 Bug 赏金猎人探索 CI 服务

现代网站是由许多依靠秘钥来识别彼此的服务拼凑而成的。一旦这些信息泄露,信任之网就会分崩离析。持续集成(CI)存储库/日志中的秘钥泄露是很常见的,而通过自动化查找它们的机率甚至会更高。


然而,EdOverflow等人的这项研究系统揭示了被忽视的案例和潜在的未来研究领域。这也很可能是热闹的站点/工具SSHGit的灵感来源。

6.所有进入.NET 的都是XSS

Paweł Hałdrzyński 采用了.NET 框架中一个鲜为人知的遗留特性,并展示了如何使用它来向任意端点上的 URL 路径添加任意内容,当我们意识到甚至是我们自己的网站也支持它时,我们感到了恐慌。


它让人联想到了 RPO(Relative Path Overwrite)攻击,这是一个有时会触发漏洞攻击链的奥秘。在这篇文章中,它被用于 XSS,但我们强烈怀疑将来它还会出现其他滥用的情况。

5.谷歌搜索 XSS

谷歌搜索框可能是这个星球上经过最严格测试的输入了,因此Masato Kinugawa是如何对 XSS 进行管理的就令人费解了,直到他通过与同事LiveOverflow的合作才揭示了这一切。


这两段视频对如何通过阅读文档和模糊测试来发现DOM解析漏洞提供了详细介绍,并且它们还提供了一个难得的机会来让我们了解这一伟大开发背后的创造性。

4.针对未经身份验证的 RCE 滥用元编程

Orange Tsai 在 Jenkins 中返回了一个预先授权的 RCE,并在两篇文章中对其进行了介绍。身份验证绕过是不错的方法,但是我们最喜欢的创新是使用元编程来创建一个后门,该后门在面对众多环境限制的情况下在编译时执行。我们希望将来会再次看到元编程。


这也是继续研究的一个很好的例子,因为后来多个研究人员对该漏洞进行了改进

3.通过服务器端请求伪造,以拥有影响力

Ben SadeghipourCody Brocious这次演讲首先概述了现有的SSRF技术,展示了如何将其改编并应用到服务器端的 PDF 生成器中,然后将 DNS 重新绑定引入到其中以获得优良效果。


针对 PDF 生成器的工作是对特性类的深入研究,这些特性类太容易被忽略了。我们首次看到服务器端浏览器上的DNS重新绑定是在2018年的提名名单上,应该由于是 HTTPRebind 的发布,才使这种攻击比之前更容易获得了。


最后,在这一点上我可能是错的,但我怀疑这个演示文稿还是值得称赞的,因为它最终说服 Amazon 考虑保护其 EC2 元数据终点。

2.跨站泄漏

跨站泄漏(Cross-site Leaks)已经持续很长时间了。早在10年前就有相关记录,并且在去年它悄悄进入到了我们的前十名,直到 2019 年,人们才意识到这一攻击级别及其数量的惊人变化。


如此大规模的信任很难分摊,但我们显然要感谢Eduardo Vela用新技术简明地介绍了这一概念,感谢他为建立已知的XS-Leak向量公开清单所作出的努力,而且研究人员应用 XS-Leak 技术取得了很好的效果。


XS-Leak 已经对网络安全领域产生了持久的影响,因为它们在浏览器 XSS 过滤器的消亡中发挥了重要作用。块模式 XSS 过滤是造成 XS-Leak 向量的主要原因,这与更糟糕的过滤模式问题相结合,导致 Edge 和后来的 Chrome 都放弃了过滤器,这是网络安全的胜利,也是网络安全研究人员的灾难。

1.缓存与混淆:野生 Web 缓存的欺骗

这篇学术白皮书中,Sajjad Arshad等人采用了 Omer Gil 的Web缓存欺骗技术(该技术在 2017 年我们的前十名中排名第二),并在 Alexa 排名前 5000 的网站上共享了对 Web 缓存欺骗漏洞的系统研究。


出于法律上的原因,大多数带有攻击性的安全研究都是在专业审计期间进行的,或是在有 bug 赏金计划的网站上进行的,但是通过谨慎的道德操守,这项研究可以使我们更广泛地了解网络的安全状态。借助精心设计的方法,它可以很容易地适应于其他技术,他们证明了 Web 缓存欺骗仍然是一种普遍存在的威胁。


除了方法论之外,另一个关键的创新是它引入了五种新的路径混淆技术,从而扩大了易受攻击网站的数量。在记录 Web 缓存提供程序的缓存行为方面,它们也比许多提供程序本身做得更好。总体而言,这是社区将现有研究转向新方向的一个极好的例子,也是当之无愧的第一名!

结论

除了上述十大 web hacking 技术,我们建议大家查看完整的查看完整的提名名单


英文原文:


Top 10 web hacking techniques of 2019


2020-04-11 21:393348
用户头像

发布了 296 篇内容, 共 191.3 次阅读, 收获喜欢 596 次。

关注

评论

发布
暂无评论
发现更多内容

大数据了解一下

小齐写代码

4个为数据程序员量身打造的PyCharm插件

伤感汤姆布利柏

等保测评师工资怎么样?有前途吗?

行云管家

等保 等级保护 等保测评师

测试人生 | 零基础转行做测试开发,入职3个月后涨薪30%

测吧(北京)科技有限公司

测试

一个好运维的自我修养:做好企业 IT 运维工作

伤感汤姆布利柏

Flink ML 的新特性解析与应用

Apache Flink

大数据 实时计算 flink 实战

简历秀软技能:轻松吸引HR的注意!

测吧(北京)科技有限公司

测试

2024年漳州本地有正规等保测评机构吗?在哪里?

行云管家

等保 等保测评 等保测评机构 漳州

一文带你了解容器探针

华为云开发者联盟

Kubernetes 后端 开发 华为云 华为云开发者联盟

听 GPT 讲 client-go 源代码 (14)

fliter

云数据库实现架构与设计的构想

天翼云开发者社区

数据库 云计算 云数据库

软件测试经验分享丨零基础转行做测试开发,入职3个月后涨薪30%

测试人

软件测试

如何在简历中展示软技能,吸引HR关注

霍格沃兹测试开发学社

【Ubuntu20.04】安装gcc11 g++11, Ubuntu18.04

百度搜索:蓝易云

Linux ubuntu 运维 gcc11 g++11

TDengine 签约福州城建,助力智慧水务数据管理革新!

TDengine

tdengine 时序数据库

如何实现零基础转行做测试开发,入职3个月后涨薪30%

霍格沃兹测试开发学社

使用git克隆仓库报错:Warning: Permanently added‘github.com’ to the .....(ssh )

百度搜索:蓝易云

git Linux 运维 报错 云服务器

查看服务器/IIS日志、log、访问信息基本方法

百度搜索:蓝易云

Linux 运维 windows IIS 云服务器

听 GPT 讲 client-go 源代码 (13)

fliter

软件测试简历秀软技能:轻松吸引HR的注意!

测试人

软件测试

香港Web3盛会:HTX Ventures投资经理Gigi Cho确认出席Hack .Summit() 2024!

TechubNews

#Web3

CDN与云计算技术的结合:专业视角下的深度融合

天翼云开发者社区

云计算 CDN 内容分发网络

知识图谱数据处理流程是什么

悦数图数据库

知识图谱

除了代码行数、工时,我们还有什么更科学的方式度量研发工作量?

思码逸研发效能

怎样利用 AI 大模型,辅助研发管理与效能提升?

思码逸研发效能

春节期间消费行业收入大涨:企业如何抓住私域运营优化机会?

Geek_2d6073

2019年十大Web Hacking技术_安全_James Kettle_InfoQ精选文章