近期,由安全公司 Portswigger 发起的“2019年十大Web黑客技术”评选结果出炉了!经过一开始初选的51个技术议题提名,到后来白帽社区投票的15个入围技术议题。最后,经专家评审委员会(NicolasGrégoire、Soroush Dalili、Filedescriptor以及albinowax )评选,甄选出了最终的2019 WEB HACKING TECHNIQUES TOP 10 榜单!
每年,都会有大量的安全研究人员,经验丰富的渗透测试人员,漏洞赏金猎人和学者发布博客文章,PPT,视频和白皮书。无论他们是提出新的攻击技术,对旧的技术进行创新还是记录日常发现,这些内容中许多都包含有可以在其他地方应用的技术思想。
但是,在如今这些有宣传和营销团队包装的漏洞不断涌现的时代,创新技术和创意很容易被忽略掉,仅仅是因为它们没有被足够大声地被传播。因此,我们团队每年都会与社区合作,寻找并发布十种我们认为经得起时间考验的创新技术。
我们认为以下这十项是去年发布的最具创新性的Web安全性研究。每个排名都包含有研究人员,测试人员,漏洞赏金猎人以及对Web安全的最新发展感兴趣的其他人的见解。
社区投票最多的一项是HTTP异步攻击(博客:HTTP Desync Attacks: Request Smuggling Reborn)。在该条目中,我唤起了人们长期以来遗忘的HTTP请求走私(HTTP Request Smuggling)技术,并以此技术获取超9万美元的漏洞赏金,两次入侵PayPal的登录页面,并为一大批社区启动了系列安全调查。我认为这是我迄今为止最好的安全研究,但是我作为榜单的评审,我决定将其排除在官方评选的前十名之外,因为我不可能写一篇文章来宣布我自己的研究是最好的。好了,一笔带过,接下来进入正文...
在10号我们发现了由Sam Curry发布的一个非常厉害的心脏出血式攻击(博客:https://samcurry.net/filling-in-the-blanks-exploiting-null-byte-buffer-overflow-for-a-40000-bounty/)。这个严重但容易被忽视的漏洞肯定会影响其他网站,这个发现提醒了我们,即使您已经是专家,仍然会有一个地方可以用来进行fuzzing,并且需要时刻留意任何意外情况。
在这篇文章中,Abdulrhman Alqabandi 混合使用了网络攻击和二进制攻击,以伪造使用微软新的Chromium-Powered Edge(又名Edgium)访问其网站的人。
此漏洞获得了40,000美元的赏金,现在已进行了修补,但这仍然是漏洞利用链的一个很好的例子。该漏洞利用链结合了多个低严重性漏洞以实现关键影响,还很好地展示了网络漏洞如何通过权限提升到本地系统桌面上。它启发了我们更新了hackability,以通过扫描chrome对象来检测何时位于特权来源上。
要进一步了解浏览器网络漏洞请查看Firefox中的远程代码执行(内存破坏除外)。
现任得奖者Orange Tsai首次与Meh Chang一同亮相,他在SSL VPNs中发现了多个未经验证的RCE漏洞。(视频:https://www.youtube.com/watch?v=1IoythC_pIY)
vpn在互联网上享有的特权地位。这意味着,就纯粹的影响力而言,这个漏洞技术是最好的选择。虽然所采用的技术基本上都是经典,但它们使用了一些创造性的技巧,我不会在这里为您过多的讲述。这项研究帮助催生了针对ssl vpn的审计浪潮,促使了更多的安全发现,包括上周发布的一系列SonicWall漏洞。
现代网站由众多依靠密语来相互识别的服务拼凑而成的。一旦这些信息泄露,信任之网就会瓦解。Integration Services 数据库/日志的信息泄漏是非常常见的,通过工具自动化扫描它们就变得更为常见。然而,EdOverflow等人的这项研究(博客:https://edoverflow.com/2019/ci-knew-there-would-be-bugs-here/)系统地揭示了被忽视的风险和潜在的未来可研究的新领域。
这也很可能是一些网站/工具SSHGit的灵感来源。
监控新颖的安全研究是我工作的一个核心部分,但我还是完全错过了这篇文章刚发布的时刻。幸运的是,社区里有人有更敏锐的眼光并向我们提名了它。
PawełHałdrzyński 选择了.NET框架的一个鲜为人知的传统功能,并展示了如何使用它向任意端点上的URL路径添加任意内容,当我们意识到我们自己的网站也支持它时,会感到一些轻微的恐慌。(博客原文:https://blog.isec.pl/all-is-xss-that-comes-to-the-net/)
这让人想起“相对路径覆盖”攻击(https://portswigger.net/research/detecting-and-exploiting-path-relative-stylesheet-import-prssi-vulnerabilities),这是一个有时会触发攻击链的手段。在这篇文章中,它被用于XSS,但我们强烈怀疑它将来会出现其他滥用。
Google搜索框可能是这个星球上最受考验的输入框,所以Masato Kinugawa是如何做到在里面进行XSS的。我无法理解,直到他通过与同事LiveOverflow的合作透露了这一切。
这个视频(https://www.youtube.com/watch?v=lG7U3fuNw3A)提供了一些关于如何通过阅读文档和模糊化来发现DOM解析错误的可靠介绍,同时也罕见地展示了这一伟大漏洞利用背后的创造力。
Orange Tsai,在Jenkins返回了具有预先授权的RCE,并在两个文章中进行了介绍。(博客:https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.html)我们认为它在绕过身份验证漏洞里是最好的,但我们最喜欢的创新点是面对众多的环境约束下使用了元编程来创建一个后门,在编译时执行。我们期待着在未来再次看到元编程。
这也是一个很好的可以继续研究的例子,因为这项研究后来得到了多个研究人员的改进。
Ben Sadeghipour和Cody Brocious的这篇演讲(视频地址:https://www.youtube.com/watch?v=o-tL9ULF0KI)首先概述了现有的SSRF技术,展示了如何将它们应用到服务器端的PDF生成器中,然后将DNS重新绑定引入到组合中以获得良好的效果。
针对PDF生成器的工作是一个非常容易被忽略的特性类的深入研究点。我们第一次看到服务器端浏览器上的DNS重新绑定是在2018年的提名名单上,httprbind的发布应该有助于使这种攻击比以往任何时候都更容易受到攻击。
最后,这个演示是非常值得赞扬的,因为它最终说服了Amazon考虑保护EC2元数据端点。
跨站点泄漏已经持续了很长时间。十多年前首次被记录在案,并于去年进入我们的前十名,直到2019年,人们才意识到这一攻击级别及其数量惊人的变化。
很难以这样的规模来分摊信誉,但我们显然要感谢Eduardo Vela用一种简洁的方式介绍了这一概念,为建立已知XS-LEAK向量(https://github.com/xsleaks/xsleaks/wiki/Browser-Side-Channels)的公开列表所做的协作努力,以及帮助研究人员将XS泄漏技术应用到实战中并产生了很大的效果。
XS泄漏已经对web安全环境产生了持久的影响,因为它们在浏览器XSS过滤器的消失中扮演了重要角色。“Block”模式的XSS过滤是XS-LEAK向量的一个主要来源,这与过滤模式的更糟问题相结合,说服了Edge和后来的Chrome放弃它们的过滤器,这是web安全的胜利,也是web安全研究人员的灾难。
在这篇学术白皮书中(https://sajjadium.github.io/files/usenixsec2020wcd_paper.pdf),Sajjad Arshad等人采用了Omer Gil的网络缓存欺骗技术(在2017年我们的前10名网站中首次出现在#2),并在Alexa的前5000家网站上系统地探索了网络缓存欺骗漏洞。
出于法律原因,大多数攻击性的安全研究都是在专业审计期间进行的,或者是在有bug悬赏计划的网站上进行的,但是通过谨慎的道德操守,这项研究提供了一个更广泛的网络安全状态。借助一种精心设计的方法,这种方法可以很容易地适应其他技术,他们证明了Web缓存欺骗仍然是一种普遍存在的威胁。
除了方法论之外,另一个关键的创新是引入了五种新的路径混淆技术,从而扩大了易受攻击网站的数量。它们在记录web缓存提供程序的缓存行为方面也比许多提供程序本身做得更好。总的来说,这是一个极好的例子,这是社区将旧技术朝着新方向创新的非常好的一个例子,它是当之无愧的第一!
今年我们看到了一组特别强的提名,所以很多优秀的研究没有进入前十名。因此,我建议查看完整的提名名单(https://portswigger.net/research/top-10-web-hacking-techniques-of-2019-nominations-open)。对于那些有兴趣在2020年研究报告发布后立即访问它的人,我们最近创建了web安全研究(https://www.reddit.com/r/websecurityresearch/ )两个Twitter帐户,以促进值得注意的研究。你还可以在这里找到前几年的榜单:
2018年
https://portswigger.net/research/top-10-web-hacking-techniques-of-2018
2017年
https://portswigger.net/research/top-10-web-hacking-techniques-of-2017
2015年
https://www.whitehatsec.com/blog/top-10-web-hacking-techniques-of-2015/
2014年
https://www.whitehatsec.com/blog/top-10-web-hacking-techniques-of-2014/
2013年
https://www.whitehatsec.com/blog/top-10-web-hacking-techniques-2013
2012年
https://www.whitehatsec.com/blog/top-ten-web-hacking-techniques-of-2012/
2011年
https://www.whitehatsec.com/blog/vote-now-top-ten-web-hacking-techniques-of-2011/
2010年
http://jeremiahgrossman.blogspot.com/2011/01/top-ten-web-hacking-techniques-of-2010.html
2009年
http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html
2008年
http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html
2007年
http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html
2006年
http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html
年复一年,我们看到伟大的研究成果都是建立在别人的想法之上的,所以我们要感谢每一个花时间发表研究成果的人,不管他们是否被提名。最后,我们要感谢广大社会各界的热情参与。没有你的提名和投票,这个榜单就是不可能的。
明年见!
今天的内容就分享到这里,希望对你有所帮助。