2024年十大Web黑客技术
欢迎来到第18届年度十大Web黑客技术评选,这是我们社区共同推动的成果,旨在识别去年发布的最具创新性的必读Web安全研究。
本篇文章是与安全社区三步合作的结晶。在过去一个月中:
- 社区提交了2024年顶级研究的提名
- 社区对这些提名进行投票,选出前15名入围名单
- 专家小组对入围名单进行投票,选出并排序最终10强
今年,社区提名了惊人的121项研究——几乎是上次的两倍。为使社区投票选项可控,我筛选掉了2024年之外发表的文章、超出Web应用安全范围的文章,以及有价值但缺乏创新性的分析报告。即使经过筛选,仍有103个条目保留!
在社区投票后,我们很荣幸地看到前十五名中包含三项PortSwigger Research的技术。为避免重蹈去年覆辙,我将这些从专家小组投票中排除。当然,我们仍然为它们感到自豪,您可以在此阅读:
- Gotta cache ’em all: 突破Web缓存利用规则
- Splitting the email atom: 利用解析器绕过访问控制
- Listen to the whispers: 真正有效的Web时序攻击
来自社区投票的十五个决赛入围者随后由专家小组进行分析和投票,小组成员包括Nicolas Grégoire、Soroush Dalili、STÖK、Fabian (LiveOverflow)和我本人。
今年,单一主题主导了前五名——您可能能猜到是什么。
让我们开始倒数!
10. 通过Cookie Tossing劫持OAuth流程
在第十位,Elliot Ward的《通过Cookie Tossing劫持OAuth流程》介绍了被广泛低估的Cookie Tossing技术的新应用。这项研究直接受到Thomas Houhou早期文章的启发。
这两篇文章都是必读内容,特别是当您遇到自XSS或无关紧要子域中的XSS时。Cookie早于管理JavaScript的同源策略,这项研究表明尽管有从HttpOnly到SameSite的几十年安全修补,它们仍然是隐患。也许使用localStorage存储会话令牌会更安全。
9. ChatGPT账户接管 - 通配符Web缓存欺骗
Web缓存欺骗最初在2017年十大Web黑客技术中排名第二,最近发展迅速。
在《ChatGPT账户接管 - 通配符Web缓存欺骗》中,Harel引入了该技术的变体,利用不一致的解码执行路径遍历并逃脱缓存规则的预期范围。我们基于此技术构建了Web Security Academy实验环境,您可以亲自尝试。
我们强烈推荐阅读作者的所有分析报告——它们是我们自己Web缓存欺骗研究的基础灵感。
8. OAuth非快乐路径到ATO
在第八位,Oxrz的《OAuth非快乐路径到ATO》阐述了一个精美创新攻击链背后的思考过程。STÖK完美捕捉了这项研究的突出之处:
“我特别喜欢看似良性的应用程序如何处理被操纵的’Referer’头部,最终通过OAuth演变成完全账户接管。这个链条完美展示了如何将先前研究(这里是Frans Rosén近乎传奇的Dirty Dancing分析)的灵感与深入钻研OAuth文档相结合,产生真正有创意的攻击链。我已完全忘记这种攻击流程,但从现在开始,每当我在测试时,肯定会自动化检查基于referer的重定向!”
7. CVE-2024-4367 - PDF.js中的任意JavaScript执行
在第七位,我们有了…一个CVE!确切地说是《CVE-2024-4367 - PDF.js中的任意JavaScript执行》。很少有单个已修补漏洞能进入前十,但Thomas Rinsma的这一发现非常特别。PDF.js作为库被广泛嵌入,使得二阶影响既巨大又难以预测。这项研究是对一些严重被忽视攻击面的高质量分析,并破坏了关于攻击者可能在哪里获得立足点的假设。
如果您喜欢这样的PDF技巧,我们强烈推荐查阅Alex Inführ和Ange Albertini的出版物。
6. DoubleClickjacking:UI redress攻击的新时代
《DoubleClickjacking:UI redress攻击的新时代》引入了Clickjacking的变体,绕过了几乎所有已知的缓解措施。这个条目在专家小组中引起争议,因为它看似简单且在回顾时显而易见,但由于其原始、不可否认的价值而获得高位。
虽然这种攻击概念的微光已存在多年,但Paulos Yibelo以完美的执行方式交付了它,证明这无疑是这种攻击的正确时机。框架限制和SameSite cookie在很大程度上扼杀了Clickjacking,而浏览器性能已达到使这种手法几乎不可见的水平。无论您是喜欢它、讨厌它,还是仅仅讨厌自己没有首先发现它,这都不是可以忽视的技术!
5. 探索DOMPurify库:绕过和修复
HTML净化几十年来一直是XSS战场,而Cure53的DOMPurify库已成为实际上唯一有效的防御解决方案。
《探索DOMPurify库:绕过和修复》深入探讨浏览器HTML解析内部机制,发现并应用新颖的突变XSS(mXSS)原语。被LiveOverflow描述为"绝对愉快的阅读"和"可能是理解mXSS及其如何影响DOMPurify等净化器的最全面文章",这是任何对JavaScript和XSS感兴趣的人的必读内容,并将在未来几年成为任何寻求开发HTML净化绕过的人的指南。
Mizu的出色工作。
4. WorstFit:揭示Windows ANSI中的隐藏转换器
每个人都知道字符集转换是绝对的雷区,但不知何故在真实漏洞利用中很少见到。在《WorstFit:揭示Windows ANSI中的隐藏转换器》中,Orange Tsai和splitline证明了这种攻击类别的真正力量,积累了众多CVE并在过程中引发了供应商指责游戏。当看似应该是基础平台知识的东西突然出现并让所有人惊讶时,这总是伟大研究的标志。
我们期望在这个领域看到更多发现,在Black Hat Europe现场观看这个演讲后,我将自动检测WorstFit风格转换推入了ActiveScan++以提供帮助。STÖK还发现WorstFit映射探索器是生成模糊测试词表的绝对宝藏。
3. 揭示TE.0 HTTP请求走私
社区对请求走私的理解仍在快速发展,《揭示TE.0 HTTP请求走私:发现数千个Google Cloud网站中的关键漏洞》是Paolo Arnolfo、Guillermo Gregorio和@_medusa_1_的重大必读贡献。
这项研究对我个人意义重大,因为它教会了我重要一课。当我第一次遇到CL.0请求走私时,我假设TE.0可能存在但永远无法利用,因为它需要后端服务器接受以数字和换行符开头的HTTP请求。我大错特错。一旦掌握了基础知识,如果您想突破边界,依赖预测和分析可能会阻碍您。如果您因为认为自己知道答案而不提出问题,您将保持无知。
如果您想知道攻击实际上如何工作,我的最佳猜测是前端正在将正文重写为非分块,但由于OPTIONS方法而忘记设置Content-Length头部。这是一个疯狂的发现,为大量可能性打开了大门。请关注这个领域。
2. SQL注入未死:协议级查询走私
有时您可以从副标题就看出研究将非常出色。LiveOverflow有很好的分析:
“伟大的研究进展通常发生在领域交叉处。在Paul Gerste的《SQL注入未死:协议级查询走私》中,我们可以看到二进制内存损坏思想被应用于Web黑客世界。我们有整数溢出损坏大小,以及基本上堆喷洒技术来更可靠地命中假查询…美丽。”
这证明了今年竞争的激烈程度,这项研究没有获得第一名。
1. 混淆攻击:利用Apache HTTP服务器中的隐藏语义歧义
Orange Tsai第三次获得第一名,凭借《混淆攻击:利用Apache HTTP服务器中的隐藏语义歧义》。这项鼓舞人心、深入且有影响力的研究出版物让整个专家小组惊叹不已。以下是他们的评价:
“再次,Orange的精彩研究!疯狂的是以前没有人考虑以这种方式处理Apache!” - Nicolas
“我确定我们只是通过基于这项研究构建来 scratching the surface of what’s possible。等不及要深入挖掘,寻找混淆的指纹和指标,当时机成熟时,全力以赴!” - STÖK
“Orange Tsai像对待Web CTF挑战一样对待Apache httpd!Orange的研究(总是)如此深入和有影响力,真是令人难以置信。鉴于httpd的流行性,这项研究将在很长时间内作为安全从业者的参考。” - LiveOverflow
“Orange正在混淆所有应用程序!” - Soroush
这是不可思议的必读研究,绝对应得第一名。恭喜Orange!
结论
安全社区在2024年发布了破纪录的高质量研究,导致社区和专家小组投票的激烈竞争。这不仅仅是数量问题——这是自2018年接手前十项目以来我见过的最高质量研究,如果趋势持续明年,将造成严重破坏。有103个提名但只有十个位置,许多优秀的分析报告没有入选,所以请务必查看完整提名列表并告诉我们您的第一名是什么。此外,如果您发现了2024年一些卓越但从未被提名研究,请给我发电子邮件,我将把它添加到列表中。
部分使条目进入前十的因素是其预期寿命,所以很值得了解前十档案。如果您有兴趣预览2025年可能获胜的内容,您可以订阅我们的RSS,加入r/websecurityresearch,跳上我们的Discord,或在社交媒体上关注我们。如果您有兴趣自己进行这类研究,我在《狩猎规避漏洞》、《如何选择安全研究主题》和《所以您想成为Web安全研究员?》中分享了我多年来学到的一些经验教训。
衷心感谢专家小组贡献时间和专业知识策划最终结果,也感谢所有参与的人!没有您的提名、投票和最重要的研究,这将不可能实现。
下次见!