2023年十大Web黑客技术

欢迎阅读《2023年十大Web黑客技术》，这是我们第17届年度社区驱动的活动，旨在识别去年发布的最具创新性的必读Web安全研究。

今年，社区提交了创纪录的68个提名条目，并通过投票选出了15个决赛选手。决赛选手经过两周的分析，由专家小组（包括Nicolas Grégoire、Soroush Dalili、Filedescriptor和我本人）投票选出了2023年十大新Web黑客技术！和往常一样，我们没有排除自己的研究，但小组成员不能投票给与他们有关联的任何内容。

竞争标准再次非常激烈，许多我个人评价很高的帖子甚至没有通过社区投票。我强烈建议所有有空的人仔细阅读整个提名列表，我们还为每个条目添加了AI生成的摘要，以帮助您评估哪些值得深入研究。

说了这么多，让我们开始倒计时！

10. 我可以和你的经理谈谈吗？黑客攻击根EPP服务器以控制区域

第十名，我们对一些被忽视且极具价值的攻击面有了深刻的见解。在《我可以和你的经理谈谈吗？黑客攻击根EPP服务器以控制区域》中，Sam Curry、Brett Buerhaus、Rhys Elsmore和Shubham Shah给我们上了一堂永恒的课：关键互联网基础设施可能令人震惊地脆弱，而黑客攻击某物的最简单途径可能远在多层之外。

9. Cookie崩溃：破坏和修复Web会话完整性

第九名，《Cookie崩溃：破坏和修复Web会话完整性》从多个角度严厉审视了Web cookie的现状。一个突出的技术是CSRF令牌固定——会话固定的表亲，他们用它来利用许多身份验证库，特别包括流行的PHP框架Symfony。如果您想在2024年执行CSRF攻击，请阅读这篇论文。来自Marco Squarcina、Pedro Adão、Lorenzo Veronese和Matteo Maffei的出色工作。

8. 从Akamai到F5到NTLM…带着爱

第八名，《从Akamai到F5到NTLM…带着爱》证明了HTTP Desync攻击仍然困扰着互联网。D3d的deadvolvo的工作因其对研究思维过程的丰富探索而脱颖而出，分享了整个旅程并捕捉了这类错误的巨大范围和影响。两个易受攻击的服务器供应商都拒绝支付奖金，而是依靠他们暴露的客户支付奖金来激励这类研究，这创造了一些有趣的动态。最好不要想它。

7. 我如何黑客攻击Microsoft Teams并在Pwn2Own中获得15万美元

《我如何黑客攻击Microsoft Teams》带您了解一个15万美元的利用链的构思和开发。Masato Kinugawa的演示文稿精心制作，让读者自己重新发现利用，所以我不会通过描述所涉及的技术来破坏它。与其介绍一种新颖的攻击类别，不如说是对他绕过保护的创新方法的全面洞察。我建议每个人都阅读它，但如果您想在Electron应用程序中找到非平凡的错误，特别值得一读。

6. HTTP请求拆分漏洞利用

很容易低估HTTP请求拆分的范围，因为坦率地说，它不应该存在于2023年的任何主流服务器中。然而，nginx显然不这么认为，使这个漏洞成为黑客常见且高影响的富矿。在《HTTP请求拆分漏洞利用》中，Sergey Bobrov提供了广泛的案例研究，展示了创造性途径以达到最大影响。您可以期望这仍然有价值，直到nginx改变他们的立场，或HTTP/1.1消失。我会给他们写一封电子邮件。

5. 利用HTTP解析器不一致性

第五名，Rafael da Costa Santos的《利用HTTP解析器不一致性》采用了熟悉的解析器混淆技术，并在新环境中重新应用它们，发现了ACL绕过、SSRF、缓存污染，当然还有WAF绕过。让研究看起来如此简单需要真正的技能。

4. PHP过滤器链：从基于错误的oracle读取文件

2022年，hash_kitten发明了一种极具创造性的技术，通过重复使用PHP过滤器来触发条件性内存不足异常来泄漏文件内容，但社区难以复制它，该技术 largely escaped attention。在《PHP过滤器链：从基于错误的oracle读取文件》中，Rémi Matasse为这项惊人的技术提供了深入的解释、优化和配套工具包，这是它非常应得的。这项技术令人着迷，我们很感兴趣地看到它是否会在PHP或其他语言中进一步发展。

3. SMTP走私 - 全球欺骗电子邮件

当之无愧的第三名是Timo Longin的《SMTP走私 - 全球欺骗电子邮件》。这项研究通过调整HTTP请求走私技术来利用SMTP，继续了解析器差异风暴。它包含了杰出研究的所有标志：创新思想、针对知名软件的高影响案例研究、深入解释、工具以及进一步研究的充足潜力。我们认为它可以作为识别不同协议中走私问题甚至发现SMTP本身内额外技术的坚实基础。它还提供了一个清晰的教训；如果您使用基于文本的协议与多个解析器，请小心！热烈祝贺Timo Longin和SEC Consult为互联网安全做出的这一贡献！

2. 利用硬化的.NET反序列化

Piotr Bazydło的《利用硬化的.NET反序列化》提供了绝对的反序列化大师班。引言阐明了目标：“显示看起来不可利用的目标实际上可能易受攻击”。随后的100页实现了它。投入时间阅读这些页面，它们将通过摧毁您可能对基于阻止列表的反序列化缓解措施的任何信心来回报您，并为您提供个人获得RCE的手段。它也可作为会议演示。小组的亮点包括漂亮的gadgets CredentialIntializer和SettingsPropertyValue，以及对反序列化->序列化模式的不安全序列化攻击。这是Piotr Bazydło和Trend Micro ZDI对社区的杰出贡献 - 太棒了！

1. 粉碎状态机：Web竞争条件的真正潜力

嗯，这很尴尬。我一直知道在我也发布研究时评级研究有风险，七年后它发生了 - 我现在必须宣布我自己的研究是最好的。明年我将想办法恢复一些诚信的表象，但现在，让我们听听小组其他成员的意见：近年来，关于Web竞争条件没有太多可说的 - 测试人员很清楚它们在哪里，确定它们是否工作，然后继续。不再是这样。James Kettle的《粉碎状态机》突出了日常应用程序中竞争条件攻击 previously overlooked 的方面。它专注于竞争条件攻击的多步骤方面以实现更大的影响，并调整了最近滥用最新HTTP堆栈的技术以最大化可利用性。尽管执行其中一些攻击可能具有挑战性，但我相信这项研究对未来具有巨大潜力！

结论

2023年，安全社区发布了大量高质量研究，导致社区投票和小组投票阶段竞争激烈。社区参与是这个项目的火花，所以如果您对我们的排名有意见，或者只是想分享您的个人前十名，请随时在X/Mastodon/LinkedIn上发布并标记我们。我们都同意的一点是，从78个提名中选出十个获胜者任何可能的 selection 都会留下很多好技术，所以重新访问提名列表也非常值得！部分使条目进入前十名的是其预期的 longevity，所以赶上过去几年的前十名也非常值得。如果您有兴趣预览2024年可能获胜的内容，您可以订阅我们的RSS，加入r/websecurityresearch，或在社交媒体上关注我们。如果您有兴趣自己进行这类研究，我在《狩猎难以捉摸的漏洞》和《所以你想成为Web安全研究员？》中分享了一些多年来学到的教训。再次感谢所有参与的人！没有您的提名、投票和最重要的研究，这是不可能的。下次见！