【20200412】2019 年十大 web hacking 技术 - 图1
众所周知,每年,专业研究人员、经验丰富的渗透测试人员、bug 赏金猎人和学者都会发表大量的博客文章、演示文稿、视频和白皮书。无论是提出新的攻击技术、混合老的技术,还是记录漏洞查找结果的,其中许多都包含可应用到其他地方的新思想。
经过社区投票和专家小组协商,PortSwigger 选出 2019 年十大 Web hacking 技术。
我们每年都会与社区合作,寻找并分享十种我们认为经得起时间考验的技术。我们认为这十项技术是去年发表的最具创新性的网络安全研究的精华所在。

社区最爱:HTTP Desync Attacks

本次,得票最多的是 HTTP Desync Attacks。我重新使用被人们遗忘很久的 HTTP 请求夹带攻击( HTTP Request Smuggling )技术,获得超过 9 万美金的 bug 赏金,两次入侵 PayPal 的登录页面,并在更广泛的社区中掀起一波漏洞查找热潮。

10. 利用 Null 字节缓冲区溢出获得 4 万美元赏金

排在第 10 位的是内存安全漏洞( memory-safety exploit ),来自 Sam Curry 和他的朋友们,它具有“心脏出血”漏洞般的风格。事实上,这个严重但容易被忽略的漏洞几乎肯定会影响其他网站。并且,它提醒我们,即使你是专家,仍然有某个地方可以让你简单地进行模糊处理,并且要密切关注任何意外情况的发生。

9. 微软 Edge(Chromium): RCE 中的潜在 EoP

在这篇文章中, Abdulrhman Alqabandi 使用了一种混合了网络和二进制攻击的方法来伪造任何使用微软新型 Chromium-Powered Edge(又名 Edgium)访问其网站的人。
现在,提供了 4 万美元的漏洞赏金来对其进行修补,但是,它仍然是漏洞攻击链的一个典型例子,该漏洞攻击链结合多个低严重程度的漏洞,以实现其关键影响,它也很好地演示了如何通过特权来源将 Web 漏洞渗透到我们的桌面上。

8. 像 NSA 一样渗透企业内网:在领先的 SSL VPN 中预授权 RCE

Orange Tsai SSL VPN 中发现了多个未经验证的 RCE 漏洞。
VPN 在互联网上享有的特权地位意味着,就纯粹的影响力而言,这已经是最好的结果了。尽管所采用的技术基本上都是经典的,但是它们使用了一些创造性的技巧,在这里我不打算剧透。这项研究催生了针对 SSL VPN 的审计浪潮,从而导致许多漏洞的发现,包括上周发布的一系列 SonicWall 漏洞

7. 作为 Bug 赏金猎人探索 CI 服务

现代网站是由许多依靠秘钥来识别彼此的服务拼凑而成的。一旦这些信息泄露,信任之网就会分崩离析。持续集成(CI)存储库 / 日志中的秘钥泄露是很常见的,而通过自动化查找它们的机率甚至会更高。
然而, EdOverflow 等人的这项研究系统揭示了被忽视的案例和潜在的未来研究领域。这也很可能是热闹的站点/ 工具 SSHGit 的灵感来源。

6. 所有进入.NET 的都是 XSS

Paweł Hałdrzyński 采用了.NET 框架中一个鲜为人知的遗留特性,并展示了如何使用它来向任意端点上的 URL 路径添加任意内容,当我们意识到甚至是我们自己的网站也支持它时,我们感到了恐慌。
它让人联想到了 RPO( Relative Path Overwrite )攻击,这是一个有时会触发漏洞攻击链的奥秘。在这篇文章中,它被用于 XSS,但我们强烈怀疑将来它还会出现其他滥用的情况。

5. 谷歌搜索 XSS

谷歌搜索框可能是这个星球上经过最严格测试的输入了,因此 Masato Kinugawa 是如何对 XSS 进行管理的就令人费解了,直到他通过与同事 LiveOverflow 的合作才揭示了这一切。
这两段视频对如何通过阅读文档和模糊测试来发现 DOM 解析漏洞提供了详细介绍,并且它们还提供了一个难得的机会来让我们了解这一伟大开发背后的创造性。

4. 针对未经身份验证的 RCE 滥用元编程

Orange Tsai 在 Jenkins 中返回了一个预先授权的 RCE,并在两篇文章中对其进行了介绍。身份验证绕过是不错的方法,但是我们最喜欢的创新是使用元编程来创建一个后门,该后门在面对众多环境限制的情况下在编译时执行。我们希望将来会再次看到元编程。
这也是继续研究的一个很好的例子,因为后来多个研究人员对该漏洞进行了改进

3. 通过服务器端请求伪造,以拥有影响力

Ben Sadeghipour Cody Brocious 这次演讲首先概述了现有的 SSRF 技术,展示了如何将其改编并应用到服务器端的 PDF 生成器中,然后将 DNS 重新绑定引入到其中以获得优良效果。
针对 PDF 生成器的工作是对特性类的深入研究,这些特性类太容易被忽略了。我们首次看到服务器端浏览器上的DNS 重新绑定是在 2018 年的提名名单上,应该由于是 HTTPRebind 的发布,才使这种攻击比之前更容易获得了。
最后,在这一点上我可能是错的,但我怀疑这个演示文稿还是值得称赞的,因为它最终说服 Amazon 考虑保护其 EC2 元数据终点。

2. 跨站泄漏

跨站泄漏(Cross-site Leaks)已经持续很长时间了。早在 10 年前就有相关记录,并且在去年它悄悄进入到了我们的前十名,直到 2019 年,人们才意识到这一攻击级别及其数量的惊人变化。
如此大规模的信任很难分摊,但我们显然要感谢 Eduardo Vela 用新技术简明地介绍了这一概念,感谢他为建立已知的 XS-Leak 向量公开清单所作出的努力,而且研究人员应用 XS-Leak 技术取得了很好的效果。
XS-Leak 已经对网络安全领域产生了持久的影响,因为它们在浏览器 XSS 过滤器的消亡中发挥了重要作用。块模式 XSS 过滤是造成 XS-Leak 向量的主要原因,这与更糟糕的过滤模式问题相结合,导致 Edge 和后来的 Chrome 都放弃了过滤器,这是网络安全的胜利,也是网络安全研究人员的灾难。

1. 缓存与混淆:野生 Web 缓存的欺骗

这篇学术白皮书中, Sajjad Arshad 等人采用了 Omer Gil 的 Web 缓存欺骗技术(该技术在 2017 年我们的前十名中排名第二),并在 Alexa 排名前 5000 的网站上共享了对 Web 缓存欺骗漏洞的系统研究。
出于法律上的原因,大多数带有攻击性的安全研究都是在专业审计期间进行的,或是在有 bug 赏金计划的网站上进行的,但是通过谨慎的道德操守,这项研究可以使我们更广泛地了解网络的安全状态。借助精心设计的方法,它可以很容易地适应于其他技术,他们证明了 Web 缓存欺骗仍然是一种普遍存在的威胁。
除了方法论之外,另一个关键的创新是它引入了五种新的路径混淆技术,从而扩大了易受攻击网站的数量。在记录 Web 缓存提供程序的缓存行为方面,它们也比许多提供程序本身做得更好。总体而言,这是社区将现有研究转向新方向的一个极好的例子,也是当之无愧的第一名!

结论

除了上述十大 web hacking 技术,我们建议大家查看完整的查看完整的提名名单