2024年十大Web黑客技术

James Kettle
研究总监
@albinowax

发布时间：2025年2月4日 15:01 UTC
更新时间：2025年2月4日 15:20 UTC

欢迎阅读《2024年十大Web黑客技术》，这是我们第18届由社区驱动的年度项目，旨在识别去年发布的最具创新性的必读Web安全研究。本篇文章是与安全社区三步协作的成果。在过去一个月中：

社区提交了2024年顶级研究的提名
社区对提名进行投票，选出前15名入围名单
专家小组对入围名单投票，最终选定并排序前10名

今年，社区提名了惊人的121项研究——几乎是上次的两倍。为使社区投票选项可控，我过滤了发表时间不在2024年或不在Web应用安全范围内的文章，以及虽有价值但缺乏创新性的技术分析。即使经过过滤，仍有103项条目保留！

社区投票后，我们荣幸地看到前15名中包含三项PortSwigger Research的技术。为避免重蹈去年覆辙，我将这些从专家小组投票中排除。当然，我们仍为之自豪，您可以在此阅读：

《全部缓存：弯曲Web缓存利用规则》
《拆分电子邮件原子：利用解析器绕过访问控制》
《倾听低语：真正有效的Web定时攻击》

社区投票选出的15名决赛选手随后由专家小组分析并投票，小组成员包括Nicolas Grégoire、Soroush Dalili、STÖK、Fabian（LiveOverflow）和我本人。

今年，前五名被单一主题主导——您可能猜到了是什么。

让我们开始倒计时！

10. 通过Cookie投掷劫持OAuth流

第十名是Elliot Ward的《通过Cookie投掷劫持OAuth流》，介绍了被广泛低估的Cookie投掷技术的新应用。这项研究直接受到Thomas Houhou早期文章的启发。两篇文章都是必读之作，尤其是当您遇到自跨站脚本（XSS）或无果子域的XSS时。Cookie早于管理JavaScript的同源策略，这项研究表明，尽管有从HttpOnly到SameSite的数十年的安全修补，它们仍然是隐患。也许使用localStorage存储会话令牌会更安全。

9. ChatGPT账户接管 - 通配符Web缓存欺骗

Web缓存欺骗最初在2017年十大Web黑客技术中排名第二，最近发展迅速。在《ChatGPT账户接管 - 通配符Web缓存欺骗》中，Harel引入了该技术的变体，利用不一致的解码执行路径遍历并逃逸缓存规则的预期范围。我们基于此技术构建了Web Security Academy实验，您可以亲自尝试。我们强烈推荐阅读作者的所有分析——它们是我们自己的Web缓存欺骗研究的基本灵感来源。

8. OAuth非快乐路径到账户接管

第八名是Oxrz的《OAuth非快乐路径到账户接管》，阐述了一个美丽而创新的攻击链背后的思考过程。STÖK完美捕捉了这项研究的突出之处：“我喜爱的是，像应用程序遵守被操纵的‘Referer:’头这样看似良性的东西，可以通过OAuth变成全面的账户接管。这个链完美展示了如何从先前研究（本例中是Frans Rosén几乎传奇的Dirty Dancing分析）中获得灵感，结合深入OAuth文档，可以导致一些极其创造性的攻击链。我完全忘记了这种攻击流，但从现在起，每当我戳东西时，我肯定会自动化检查基于referer的重定向！”

7. CVE-2024-4367 - PDF.js中的任意JavaScript执行

第七名是……一个CVE！确切地说是《CVE-2024-4367 - PDF.js中的任意JavaScript执行》。很少有一个已修补的漏洞进入前十，但Thomas Rinsma的这一发现例外。PDF.js被广泛嵌入为库，使得二阶影响巨大且难以预测。这项研究是对一些严重被忽视的攻击面的高质量分析，并削弱了关于攻击者可能获得立足点的假设。如果您喜欢这样的PDF把戏，我们强烈推荐回顾Alex Inführ和Ange Albertini的出版物。

6. 双击劫持：UI重定向的新时代

《双击劫持：UI重定向的新时代》引入了点击劫持的变体，绕过了几乎所有已知的缓解措施。这一条目在小组中引起争议，因为它看似简单且事后明显，但由于原始、不可否认的价值而高度排名。虽然这种攻击概念的微光已存在多年，但Paulos Yibelo以完美的执行交付，证明这无疑是这种攻击的正确时机。框架限制和SameSite cookie在很大程度上杀死了点击劫持，浏览器性能已达到使手法几乎不可见的水平。爱它、恨它，或只是恨您没有首先发现它，这不是一种可以忽视的技术！

5. 探索DOMPurify库：绕过和修复

HTML净化几十年来一直是XSS战场，而Cure53的DOMPurify库已成为实际上唯一有效的防御解决方案。《探索DOMPurify库：绕过和修复》深入浏览器HTML解析内部，发现并应用新颖的突变XSS（mXSS）原语。被LiveOverflow描述为“绝对愉快的阅读”和“可能是理解mXSS及其如何影响净化器（如DOMPurify）的最全面文章”，这是任何对JavaScript和XSS感兴趣的人的必读之作，并将作为未来几年寻求开发HTML净化绕过的手册。Mizu的出色工作。

4. WorstFit：揭示Windows ANSI中的隐藏转换器

每个人‘知道’字符集转换是一个绝对的地雷区，但不知何故在真实利用中很少见到。在《WorstFit：揭示Windows ANSI中的隐藏转换器》中，Orange Tsai和splitline证明了这种攻击类的真正力量，积累了众多CVE并在此过程中引发了供应商指责游戏。当似乎应该是基本平台知识的东西突然出现并让所有人惊讶时，这总是伟大研究的标志。我们期望在这一领域看到更多发现，并在Black Hat Europe现场捕捉到此演讲后，我将WorstFit式转换的自动检测推入ActiveScan++以提供帮助。STÖK还发现WorstFit映射探索器是生成模糊测试词表的绝对瑰宝。

3. 揭示TE.0 HTTP请求走私

社区对请求走私的理解仍在快速发展，《揭示TE.0 HTTP请求走私：发现数千个Google Cloud网站中的关键漏洞》是Paolo Arnolfo、Guillermo Gregorio和@_medusa_1_的重大必读贡献。这项研究对我个人意义重大，因为它教会了我重要一课。当我第一次遇到CL.0请求走私时，我假设TE.0可能存在，但永远无法利用，因为它需要后端服务器接受以数字和换行符开头的HTTP请求。我大错特错。一旦掌握了基础知识，如果您想推动边界，依赖预测和分析可能会阻碍您。如果您因为认为知道答案而不问问题，您将保持无知。如果您想知道攻击实际如何工作，我的最佳猜测是前端将正文重写为非分块，但由于OPTIONS方法而忘记设置Content-Length头。这是一个疯狂的发现，打开了大量可能性的大门。关注此空间。

2. SQL注入未死：在协议级别走私查询

有时您可以从副标题看出研究将令人惊叹。LiveOverflow有很好的分析：“伟大的研究进展通常发生在领域的交叉点。在Paul Gerste的《SQL注入未死：在协议级别走私查询》中，我们可以看到二进制内存损坏想法应用于Web黑客世界。我们有一个整数溢出损坏大小，基本上是一种堆喷雾技术以更可靠地击中假查询……美丽。”这证明了今年竞争有多激烈，以至于它没有获得第一名。

1. 混淆攻击：利用Apache HTTP服务器中的隐藏语义歧义

Orange Tsai以《混淆攻击：利用Apache HTTP服务器中的隐藏语义歧义》第三次获得第一名。这项鼓舞人心、深入且有影响力的研究出版物让整个小组惊叹。以下是他们的评论：

“再次，Orange的一些fantastic研究！疯狂的是以前没有人考虑以这种方式接近Apache！” - Nicolas
“我确定我们只是 scratching the surface of what’s possible by building on this research. Can’t wait to dig deeper, hunt for fingerprints and indicators of confusions and when the time is right, go all brrrrrr!” - STÖK
“Orange Tsai将Apache httpd像Web CTF挑战一样对待！Orange的研究（总是）多么深入和有影响力，令人难以置信。鉴于httpd的流行，这项研究将在很长一段时间内作为安全从业者的参考。” - LiveOverflow
“Orange正在混淆所有应用！” - Soroush

这是不可思议的必读研究，绝对值得第一名。恭喜Orange！

结论

安全社区在2024年发布了破纪录的高质量研究，导致社区和小组投票的激烈竞争。这不仅仅是数量问题——这是自2018年接手前十项目以来我见过的最高质量的研究作物，如果趋势继续明年，将造成严重破坏。有103项提名和仅十个位置，许多伟大的分析未能入选，因此请务必查看完整提名列表并告诉我们您的第一名是什么。此外，如果您发现了2024年一些从未被提名的卓越研究，请给我发邮件，我将将其添加到列表中。部分使条目进入前十的是其预期 longevity，因此赶上前十档案也非常值得。如果您有兴趣预览2025年可能获胜的内容，您可以订阅我们的RSS，加入r/websecurityresearch，跳上我们的Discord，或在社交媒体上关注我们。如果您有兴趣自己进行这种研究，我在《狩猎规避漏洞》、《如何选择安全研究主题》和《所以您想成为Web安全研究员？》中分享了一些多年来学到的教训。

衷心感谢小组贡献时间和专业知识策划最终结果，并感谢所有参与的人！没有您的提名、投票和最重要的研究，这将不可能。下次见！