2023年十大Web黑客技术盘点

引言

欢迎阅读《2023年十大Web黑客技术》第17版，这是我们年度社区驱动的研究成果展示，旨在识别过去一年中最具创新性的Web安全研究。

今年社区创纪录地提交了68项提名，经过投票选出15项决赛作品。由Nicolas Grégoire、Soroush Dalili、Filedescriptor和我组成的专家小组经过两周分析，最终评选出2023年十大Web黑客技术！

Sam Curry团队揭示了关键互联网基础设施的脆弱性，展示了通过多层间接路径实现控制的经典案例。

Marco Squarcina等人深入剖析Web Cookie安全现状，特别展示了CSRF令牌固定攻击对Symfony等PHP框架的影响。

D3d的deadvolvo通过HTTP异步攻击研究，揭示了该漏洞类在当今互联网的持续影响，同时探讨了漏洞赏金机制的矛盾。

Masato Kinugawa详细呈现了价值15万美元的漏洞利用链开发过程，为Electron应用安全研究提供了创新方法论。

Sergey Bobrov通过nginx案例研究，展示了这种本不该存在的漏洞如何成为攻击者的高价值目标。

Rafael da Costa Santos重新应用解析器混淆技术，发现ACL绕过、SSRF、缓存污染等多类漏洞。

Rémi Matasse优化了hash_kitten提出的创新技术，通过PHP过滤器触发内存异常来实现文件内容泄露。

Timo Longin将HTTP请求走私技术移植到SMTP协议，展示了针对主流邮件软件的髙影响案例研究。

Piotr Bazydło的100页研究报告彻底解构了反序列化防护机制，特别展示了CredentialInitializer等精巧gadget的利用。

James Kettle重新定义了竞态条件攻击范式，通过多阶段攻击链和新型HTTP栈利用技术实现突破性进展。

2023年安全社区产出了大量优质研究。这些技术因其长期影响力入选，建议安全从业者同时查阅历年榜单。如需获取最新研究动态，可订阅我们的RSS或关注社交媒体。

特别感谢所有参与提名、投票和研究的社区成员！我们2024年再见。