2023年十大Web黑客技术
欢迎阅读《2023年十大Web黑客技术》,这是我们第17届由社区驱动的年度活动,旨在识别去年发布的最具创新性的必读Web安全研究。
今年,社区响应我们的提名号召,创纪录地提交了68个条目,并通过投票选出15名决赛选手。随后由专家小组(包括Nicolas Grégoire、Soroush Dalili、Filedescriptor和我本人)进行了为期两周的分析和投票,最终选出2023年十大新Web黑客技术!一如既往,我们没有排除自己的研究,但小组成员不能投票给与他们有关联的内容。
竞争标准再次异常激烈,许多我个人评价很高的帖子甚至未能通过社区投票。我强烈建议所有有空闲时间的人仔细阅读整个提名列表,我们还为每个条目添加了AI生成的摘要,以帮助您评估要深入研究的条目。
说了这么多,让我们开始倒计时!
10. 能否与您的经理通话?黑客攻击根EPP服务器以控制区域
第十名,我们对一些被忽视且极具价值的攻击面有了深刻见解。在《能否与您的经理通话?黑客攻击根EPP服务器以控制区域》中,Sam Curry、Brett Buerhaus、Rhys Elsmore和Shubham Shah给我们上了一堂永恒的课:关键互联网基础设施可能惊人地脆弱,而黑客攻击某物的最简单途径可能远在多层之外。
9. Cookie崩溃:破坏和修复Web会话完整性
第九名,《Cookie崩溃:破坏和修复Web会话完整性》从多个角度严厉审视了Web cookie的现状。一个突出的技术是CSRF令牌固定——会话固定的表亲,他们用它来利用许多身份验证库,特别包括流行的PHP框架Symfony。如果您想在2024年执行CSRF攻击,请阅读这篇论文。来自Marco Squarcina、Pedro Adão、Lorenzo Veronese和Matteo Maffei的出色工作。
8. 从Akamai到F5到NTLM…带着爱
第八名,《从Akamai到F5到NTLM…带着爱》证明了HTTP Desync攻击仍然困扰着互联网。D3d的deadvolvo的工作因其对研究思维过程的丰富探索而脱颖而出,分享了整个旅程并捕捉了这类错误的巨大范围和影响。两个易受攻击的服务器供应商都拒绝支付奖金,而是依赖他们暴露的客户支付奖金来激励这类研究,这创造了一些有趣的动态。最好不要想它。
7. 我如何黑客攻击Microsoft Teams并在Pwn2Own中获得150,000美元
《我如何黑客攻击Microsoft Teams》带您了解一个150,000美元漏洞链的构思和开发。Masato Kinugawa的这个演示文稿精心制作,让读者自己重新发现漏洞,因此我不会通过描述所涉及的技术来破坏它。与其介绍一种新颖的攻击类别,不如说是对他绕过保护的创新方法的全面洞察。我建议每个人都阅读它,但如果您想在Electron应用程序中找到非平凡的错误,特别值得一读。
6. HTTP请求拆分漏洞利用
很容易低估HTTP请求拆分的范围,因为坦率地说,它在2023年不应该存在于任何主流服务器中。然而,nginx显然不这么认为,使这个漏洞成为黑客常见且高影响的宝库。在《HTTP请求拆分漏洞利用》中,Sergey Bobrov提供了广泛的案例研究,展示了创造性途径以达到最大影响。您可以期望这仍然有价值,直到nginx改变他们的立场,或HTTP/1.1消失。我会给他们写一封电子邮件。
5. 利用HTTP解析器不一致性
第五名,Rafael da Costa Santos的《利用HTTP解析器不一致性》采用熟悉的解析器混淆技术并在新环境中重新应用它们,发现ACL绕过、SSRF、缓存污染,当然还有WAF绕过。需要 serious 技能才能使研究看起来如此容易。
4. PHP过滤器链:从基于错误的oracle读取文件
2022年,hash_kitten发明了一种极具创造性的技术,通过重复使用PHP过滤器来触发条件性内存不足异常来泄漏文件内容,但社区难以复制它,该技术 largely 逃脱了 attention。在《PHP过滤器链:从基于错误的oracle读取文件》中,Rémi Matasse为这项惊人的技术提供了深入的解释、优化和配套工具包,这是它 so badly 应得的。这项技术令人着迷,我们 intrigued 看到它是否在PHP或其他语言中得到进一步发展。
3. SMTP走私 - 全球欺骗电子邮件
当之无愧的第三名是Timo Longin的《SMTP走私 - 全球欺骗电子邮件》。这项研究通过将HTTP请求走私技术 adapted 来利用SMTP,继续了解析器差异风暴。它包含杰出研究的所有特征:创新思想、针对知名软件的高影响案例研究、深入解释、工具以及进一步研究的 ample 潜力。我们认为它可以作为识别不同协议中走私问题甚至发现SMTP本身内 additional 技术的 solid 基础。它还提供了一个 clear 教训;如果您使用基于文本的协议与多个解析器,请当心!
热烈祝贺Timo Longin和SEC Consult为互联网安全做出的这一贡献!
2. 利用硬化的.NET反序列化
Piotr Bazydło的《利用硬化的.NET反序列化》提供了绝对的反序列化大师班。引言 laid out 目标:“显示看起来不可利用的目标可能实际上易受攻击”。随后的100页实现了它。 invest 您的时间在这些页面上,它们将通过摧毁您可能对基于阻止列表的反序列化缓解措施的任何信心来 reward 您,并 equip 您 personally 获得那个RCE的手段。它也可作为会议演示文稿提供。小组的 highlights 包括美丽的 gadgets CredentialIntializer和SettingsPropertyValue,以及对反序列化->序列化模式的 insecure 序列化攻击。
这是Piotr Bazydło和Trend Micro ZDI对社区的 outstanding 贡献 - awesome 工作!
1. 粉碎状态机:Web竞争条件的真正潜力
嗯,这很尴尬。我一直知道在我也自己发布研究时评级研究有风险,七年后它发生了 - 我现在必须 declare 我自己的研究是最好的。明年我将 figure out 一个策略来 reclaim 一些 integrity 的 resemblance,但现在,让我们听听小组其他成员的意见:
近年来,关于Web竞争条件没有太多可说的 - 测试人员很好地知道它们在哪里, establish 它们是否工作,然后 move on。不再如此。James Kettle的《粉碎状态机》 highlights 了日常应用中竞争条件攻击 previously 被忽视的方面。它 focuses 于竞争条件攻击的多步方面以实现 greater 影响,并 adapts 最近滥用最新HTTP堆栈的技术以最大化可利用性。尽管执行其中一些攻击可能 prove 具有挑战性,但我相信这项研究 holds 未来的巨大潜力!
结论
2023年,安全社区发布了大量高质量研究,导致社区投票和小组投票阶段都出现了激烈竞争。
社区参与是这个项目的 spark,所以如果您对我们的排名有意见,或者 simply 想分享您个人的前十名,请随时在X/Mastodon/LinkedIn上发布并标记我们。我们都能 agree 的一件事是,从78个提名中 possible 选择十个获胜者将会留下许多好的技术,所以也很值得重新访问提名列表!
一个条目进入前十名的部分原因是其预期的 longevity,所以也很值得赶上过去几年的前十名。如果您 interested 预览2024年可能获胜的内容,您可以订阅我们的RSS,加入r/websecurityresearch,或在社交媒体上关注我们。如果您 interested 自己进行这类研究,我在《狩猎规避漏洞》和《所以你想成为Web安全研究员?》中分享了一些我多年来学到的教训。
再次感谢所有参与的人!没有您的提名、投票和最重要的研究,这是不可能的。
下次见!