2022年十大Web黑客技术提名开启

本文宣布2022年十大Web黑客技术提名活动正式开始,旨在评选最具创新性和可复用性的Web安全研究技术,涵盖JNDI注入、XXE利用、缓存投毒等多种攻击手法。

2022年十大Web黑客技术 - 提名开启

James Kettle
研究总监
@albinowax

发布时间: 2023年1月4日 13:52 UTC
更新时间: 2023年1月24日 12:32 UTC

更新: 投票现已结束,专家小组投票正在进行中。

2022年十大新Web黑客技术提名现已开放!每年,安全研究人员通过演示、白皮书和博客文章向社区分享他们的最新发现。虽然每篇文章都有价值,但有些包含特别的内容——可以重新应用于其他地方的创新思想和技术。自2006年以来,社区每年都会共同梳理当年的研究成果,确定十大最具创新性和可复用的新技术。现在是我们再次翻阅笔记、提名和投票选出2022年十大技术的时候了。

如果您是第一次接触这个项目,可以在我们的专用十大页面找到该项目的完整起源、历史和目的,以及过去获奖者的档案,并了解它与OWASP Top Ten等相关项目的区别。

今年,我们将遵循以下时间表:

时间表
1月4日-15日:收集社区对2022年顶级研究的提名
1月17日-24日:社区对提名进行投票,产生前15名候选名单
1月24日:启动专家小组投票,从候选名单中选出并排序10名决赛者
2月8日:发布2022年十大技术!

我应该提名什么?
目标是突出包含新颖、实用技术的研究,这些技术可以重新应用于不同系统。像log4shell这样的单个漏洞在当时很有价值,但时效性相对较差,而像JNDI注入这样的基础技术通常可以重新应用并产生巨大效果。提名也可以是对已知攻击类别的改进,例如利用本地DTD文件利用XXE。更多示例,您可以查看往年的十大技术。

如何提名:
提交时,只需提供研究的URL,以及可选的简短评论,解释该工作的新颖之处。您可以随意提名多个,如果您认为自己的研究值得,也可以提名自己的作品!我会过滤掉较弱的提名,并合并重叠的提名,以保持总数可控。提名现已关闭。

我们不收集电子邮件地址 - 要获取投票阶段开始的通知,请在Twitter上关注@PortSwiggerRes或在Mastodon上关注@albinowax@infosec.exchange。

提名
我自己已经提名了一些以启动活动,我会每隔几天用新的社区提名更新此列表。

  • 在Django PHP过滤器链中使用侧信道披露信息:是什么以及如何使用
  • 全球所有Akamai边缘节点的服务器端缓存投毒
  • 缓存不可缓存的内容 - 滥用URL解析器混淆
  • 浏览器驱动的反同步攻击:HTTP请求走私的新前沿
  • 通过证书透明性的时间关联攻击发现域名
  • FRAMESHIFTER:HTTP/2到HTTP/1转换异常的安全影响
  • {JS-ON:Security-OFF}:滥用基于JSON的SQL绕过WAF
  • 让我们在缓存中跳舞 - 破坏Microsoft IIS上的哈希表!
  • 从Fastly泄漏未初始化内存的故事
  • 黑客攻击Salesforce支持的WebApps
  • 实用的客户端路径遍历攻击
  • 通过响应队列投毒使HTTP头注入变得关键
  • 利用SAP HTTP服务器中的进程间通信
  • 融化DNS冰山:以Kaminsky风格接管您的基础设施
  • 使用登录OAuth流程中的“脏舞”进行账户劫持
  • 伟大的SameSite混淆
  • 被低估的漏洞,点击劫持,CSS注入,拖放XSS,Cookie炸弹…
  • PNG中的持久PHP负载:如何在图像中注入PHP代码
  • Till REcollapse::为神秘漏洞模糊测试Web
  • 利用Java的XML签名验证
  • 用于黑客攻击Web应用的Jetty功能
  • 由SNI代理配置错误引起的SSRF漏洞
  • CSRF复活, starring the Unholy Trinity
  • Java中的Psychic Signatures
  • 深入理解ASPX文件处理和一些相关攻击向量
  • Java中的任意文件上传技巧
  • 使用SAML黑客攻击云
  • Apache Pinot SQLi和RCE作弊表
  • 在AWS SDK客户端中落入系统角色的危险
  • ElectroVolt - Pwning流行桌面应用
  • 通过DOM Clobbering劫持服务工作者
  • 通过0day绕过WAF
  • 探索ESI注入的世界
  • HTTP/2中的XSS魔法方式
  • Miracle - 一个漏洞统治所有
  • 在PHP中利用任意对象实例化而无自定义类
  • Zimbra电子邮件 - 通过Memcache注入窃取明文凭据
  • SpEL转换和邪恶Beans
  • 绕过.NET序列化绑定器
  • OWASSRF + TabShell漏洞利用链
  • 利用静态站点生成器:当静态不是真正静态时
  • 什么是原型污染?原型漏洞解释
  • 我们信任GUID
  • 利用Web3的隐藏攻击面:Netlify的Next.js库上的通用XSS
  • 通过滥用同源方法执行绕过CSP使用WordPress

返回所有文章

此页面需要JavaScript以增强用户体验。

相关研究

  • Repeater Strike: 手动测试,放大版 - 2025年7月15日
  • Drag and Pwnd: 利用ASCII字符利用VS Code - 2025年4月30日
  • Document My Pentest: 您黑客,AI撰写报告! - 2025年4月23日
  • SAML轮盘:黑客总是赢 - 2025年3月18日
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次