2023年十大Web黑客技术深度解析

本文详细介绍了2023年最具创新性的十大Web黑客技术,涵盖HTTP请求拆分、SMTP走私、.NET反序列化漏洞、竞态条件攻击等前沿安全研究,为安全研究人员提供实用技术洞察。

2023年十大Web黑客技术

欢迎阅读《2023年十大Web黑客技术》,这是我们第17届年度社区驱动的成果展示,旨在识别去年发布的最具创新性的必读Web安全研究。

今年,我们收到了创纪录的68项提名,社区通过投票选出15个决赛作品。随后由专家小组(包括Nicolas Grégoire、Soroush Dalili、Filedescriptor和我本人)经过两周分析投票选出前十名!按照惯例,我们未排除自身研究,但小组成员不得投票给与其有关联的作品。

今年的竞争标准异常激烈,许多我个人看好的文章甚至未能通过社区投票。我强烈建议有时间的人仔细阅读整个提名列表,我们还为每个条目添加了AI生成的摘要,帮助您评估需要深入阅读的内容。

闲话少说,让我们开始倒数!

10. 能否与您经理通话?入侵根EPP服务器控制区域

第十名是对一些被忽视且极具价值攻击面的精彩洞察。Sam Curry、Brett Buerhaus、Rhys Elsmore和Shubham Shah通过《能否与您经理通话?》给我们上了永恒的一课:关键互联网基础设施可能惊人地脆弱,入侵某系统的最简单途径可能隔着多层抽象。

9. 饼干碎屑:破坏与修复Web会话完整性

第九名《饼干碎屑:破坏与修复Web会话完整性》从多个角度严厉审视了Web cookie的现状。其中突出的技术是CSRF令牌固定——会话固定的近亲,作者利用此技术攻击了多个身份验证库,特别包括流行的PHP框架Symfony。如果您想在2024年进行CSRF攻击,请阅读这篇论文。Marco Squarcina、Pedro Adão、Lorenzo Veronese和Matteo Maffei的杰出工作。

8. 从Akamai到F5再到NTLM…带着爱

第八名《从Akamai到F5再到NTLM…带着爱》证明了HTTP异步攻击仍在困扰互联网。D3d的deadvolvo的工作因深入探索研究思维过程而脱颖而出,分享了完整的研究历程,并捕捉了这类漏洞的巨大范围和影响。两家易受攻击的服务器供应商拒绝支付赏金,反而依赖其暴露的客户支付赏金来激励此类研究,这创造了有趣的动态。最好别多想。

7. 我如何入侵Microsoft Teams并在Pwn2Own中获得15万美元

《我如何入侵Microsoft Teams》带您了解一个价值15万美元的漏洞利用链的构思和开发过程。Masato Kinugawa的演示文稿精心设计,让读者自行重新发现漏洞利用方法,因此我不会通过描述相关技术来剧透。与其说引入了新颖的攻击类别,不如说这是对他绕过保护措施的创新方法的全面洞察。我推荐所有人阅读,但如果您想在Electron应用程序中发现非平凡错误,特别值得一读。

6. HTTP请求拆分漏洞利用

很容易低估HTTP请求拆分的范围,因为坦率地说,在2023年任何主流服务器中都不应该存在此问题。然而,nginx显然不这么认为,使该漏洞成为黑客常见且高影响力的金矿。在《HTTP请求拆分漏洞利用》中,Sergey Bobrov提供了广泛的案例研究,展示了实现最大影响的创造性途径。在nginx改变立场或HTTP/1.1消失之前,这都将保持价值。我会给他们写封邮件。

5. 利用HTTP解析器不一致性

第五名Rafael da Costa Santos的《利用HTTP解析器不一致性》将熟悉的解析器混淆技术重新应用于新场景,发现了ACL绕过、SSRF、缓存污染,当然还有WAF绕过。让研究看起来如此简单需要真正的技能。

4. PHP过滤器链:基于错误oracle的文件读取

2022年,hash_kitten发明了一种极具创意的技术,通过重复使用PHP过滤器触发条件性内存不足异常来泄露文件内容,但社区难以复现该技术,该技术基本上未被关注。在《PHP过滤器链:基于错误oracle的文件读取》中,Rémi Matasse对这一惊人技术进行了深入解释、优化并提供了配套工具包。这项技术令人着迷,我们很感兴趣它是否会在PHP或其他语言中得到进一步发展。

3. SMTP走私——全球电子邮件欺骗

当之无愧的第三名是Timo Longin的《SMTP走私——全球电子邮件欺骗》。这项研究通过将HTTP请求走私技术适配用于利用SMTP,延续了解析器差异风暴。它包含了杰出研究的所有特征:创新思想、针对知名软件的高影响力案例研究、深入解释、工具以及进一步研究的充足潜力。我们认为它可以作为在不同协议中识别走私问题甚至发现SMTP内部其他技术的坚实基础。它还提供了一个明确的教训:如果您使用具有多个解析器的基于文本的协议,请小心! 热烈祝贺Timo Longin和SEC Consult为互联网安全做出的这一贡献!

2. 利用强化的.NET反序列化

Piotr Bazydło的《利用强化的.NET反序列化》提供了绝对的反序列化大师课。引言阐述了目标:“展示那些看起来不可利用的目标实际上可能是易受攻击的”。随后的100页实现了这一目标。在这些页面上投入时间,它们将回报您:摧毁您可能对基于黑名单的反序列化缓解措施的任何信任,并为您提供亲自获得RCE的方法。它也有会议演示版本。专家小组的亮点包括精美的CredentialIntializer和SettingsPropertyValue小工具,以及对反序列化->序列化模式的不安全序列化攻击。 这是Piotr Bazydło和Trend Micro ZDI对社区的杰出贡献——太棒了!

1. 粉碎状态机:Web竞态条件的真正潜力

嗯,这很尴尬。我一直知道在我也发表研究时对其进行评级存在风险,七年后它发生了——我现在不得不宣布我自己的研究是最好的。明年我将想办法恢复一些诚信的表象,但现在,让我们听听专家小组其他成员的意见: 近年来,关于Web竞态条件没什么可说的——测试人员很清楚它们在哪里,确定它们是否有效,然后继续前进。不再如此。James Kettle的《粉碎状态机》突出了日常应用程序中竞态条件攻击先前被忽视的方面。它专注于竞态条件攻击的多步骤方面以实现更大影响,并采用滥用最新HTTP堆栈的最新技术来最大化可利用性。尽管执行其中一些攻击可能具有挑战性,但我相信这项研究对未来具有巨大潜力!

结论

2023年,安全社区发布了大量高质量研究,导致社区投票和专家小组投票阶段竞争激烈。 社区参与是这个项目的火花,因此如果您对我们的排名有意见,或者只是想分享您个人的前十名,请随时在X/Mastodon/LinkedIn上发布并标记我们。我们都同意的一点是,从78项提名中选出十名获胜者必然会遗漏许多优秀技术,因此重新访问提名列表也非常值得! 入选前十名的部分原因是其预期的持久性,因此了解过去几年的前十名也非常值得。如果您有兴趣预览2024年可能获胜的内容,可以订阅我们的RSS,加入r/websecurityresearch,或在社交媒体上关注我们。如果您有兴趣自己进行此类研究,我在《狩猎规避性漏洞》和《所以你想成为Web安全研究员?》中分享了我多年来学到的一些经验教训。 再次感谢所有参与的人!没有您的提名、投票以及最重要的研究,这一切都不可能实现。 下次见!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次