2022年十大Web黑客技术提名开启

本文宣布2022年十大Web黑客技术提名活动正式开始,旨在评选出最具创新性和可复用的新型Web攻击技术,涵盖服务器端缓存投毒、HTTP请求走私、WAF绕过等前沿研究方向。

Top 10 web hacking techniques of 2022 - nominations open

James Kettle
研究总监
@albinowax

发布时间: 2023年1月4日 13:52 UTC
更新时间: 2023年1月24日 12:32 UTC

更新: 投票现已结束,专家组投票正在进行中。

2022年十大新型Web黑客技术提名现已开放!每年,安全研究人员都会通过演示、白皮书和博客文章向社区分享最新发现。虽然每篇文章都有价值,但有些包含特别的内容——可以重新应用到其他地方的创新思想和技术。自2006年以来,社区每年都会共同梳理年度发现,并评选出十大最具创新性和可复用的新技术。现在是我们再次翻阅笔记、提名和投票选出2022年十大技术的时候了。

如果您是第一次接触这个项目,可以在我们的专用十大页面上找到该项目的完整起源、历史和目的,以及过去获奖者的档案,并了解它与OWASP Top Ten等相关项目的区别。

今年,我们将遵循以下时间表:

时间表
1月4日至15日:收集社区对2022年顶级研究的提名
1月17日至24日:社区对提名进行投票,生成前15名候选名单
1月24日:启动专家组投票,从候选名单中选出并排序10名决赛选手
2月8日:发布2022年十大技术!

我应该提名什么?
目标是突出包含新颖、实用技术的研究,这些技术可以重新应用到不同系统中。像log4shell这样的个别漏洞在当时很有价值,但随着时间的推移价值会相对降低,而像JNDI注入这样的底层技术通常可以重新应用并产生巨大效果。提名也可以是对已知攻击类别的改进,例如利用本地DTD文件利用XXE。更多示例,您可以查看往年的十大技术。

如何提名:
只需提供研究的URL,以及可选的简要评论,解释该工作的新颖之处。您可以随意提名多个,如果您认为自己的研究值得,也可以提名自己的作品!我会过滤掉较弱的提名,并合并重叠的提名,以保持总数可控。提名现已关闭。

我们不会收集电子邮件地址——要获知投票阶段开始的通知,请在Twitter上关注@PortSwiggerRes,或在Mastodon上关注@albinowax@infosec.exchange。

提名
我自己已经提名了一些来启动活动,我会每隔几天用新的社区提名更新这个列表。

  • 在Django PHP过滤器链中利用侧信道披露信息:是什么以及如何使用
  • 全球Akamai边缘节点的服务器端缓存投毒
  • 缓存不可缓存的内容——滥用URL解析器混淆
  • 浏览器驱动的反同步攻击:HTTP请求走私的新前沿
  • 通过证书透明性的时间关联攻击发现域名
  • FRAMESHIFTER:HTTP/2到HTTP/1转换异常的安全影响
  • {JS-ON: Security-OFF}:滥用基于JSON的SQL绕过WAF
  • 让我们在缓存中跳舞——破坏Microsoft IIS上的哈希表!
  • 从Fastly泄漏未初始化内存的故事
  • 黑客攻击Salesforce支持的Web应用
  • 实用的客户端路径遍历攻击
  • 通过响应队列投毒使HTTP头注入变得关键
  • 利用SAP HTTP服务器中的进程间通信
  • 融化DNS冰山:以Kaminsky风格接管您的基础设施
  • 使用登录OAuth流程中的“脏舞”进行账户劫持
  • 伟大的SameSite混淆
  • 被低估的漏洞:点击劫持、CSS注入、拖放XSS、Cookie炸弹…
  • PNG中的持久PHP负载:如何在图像中注入PHP代码
  • Till REcollapse:为神秘漏洞模糊测试Web
  • 利用Java的XML签名验证
  • 用于黑客攻击Web应用的Jetty功能
  • 由SNI代理配置错误引起的SSRF漏洞
  • CSRF复活,主演邪恶三位一体
  • Java中的心灵签名
  • 深入理解ASPX文件处理及相关攻击向量
  • Java中的任意文件上传技巧
  • 使用SAML黑客攻击云
  • Apache Pinot SQLi和RCE备忘单
  • AWS SDK客户端中落入系统角色的危险
  • ElectroVolt - 攻陷流行桌面应用
  • 通过DOM Clobbering劫持服务工作者
  • 通过0day绕过WAF
  • 探索ESI注入的世界
  • HTTP/2中的神奇XSS方式
  • Miracle - 一个漏洞统治所有
  • 在PHP中利用任意对象实例化而无需自定义类
  • Zimbra电子邮件 - 通过Memcache注入窃取明文凭据
  • SpEL转换和邪恶Beans
  • 绕过.NET序列化绑定器
  • OWASSRF + TabShell漏洞利用链
  • 利用静态站点生成器:当静态并非真正静态时
  • 什么是原型污染?原型漏洞解释
  • 我们信任GUID
  • 利用Web3的隐藏攻击面:Netlify的Next.js库上的通用XSS
  • 通过滥用同源方法执行绕过CSP使用WordPress

相关研究

  • Drag and Pwnd: 利用ASCII字符利用VS Code(2025年4月30日)
  • Document My Pentest: 你黑客,AI写报告!(2025年4月23日)
  • SAML轮盘:黑客总是赢(2025年3月18日)
  • Shadow Repeater:AI增强的手动测试(2025年2月20日)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次