OAuth“大师课”荣膺2022年顶级Web黑客技术

本文详细介绍了2022年PortSwigger评选的十大Web黑客技术,重点关注OAuth流程中的账户劫持、HTTP请求走私等高级攻击手法,涵盖身份验证漏洞、缓存投毒、反序列化绕过等核心安全技术。

OAuth‘masterclass’ crowned top web hacking technique of 2022

Adam Bannister
2023年2月10日 14:56 UTC
更新:2023年2月10日 16:10 UTC

黑客新闻 | 行业新闻 | 黑客技术

单点登录和请求走私在Web安全研究的又一个杰出年份中脱颖而出。Detectify创始人Frans Rosén以“在登录OAuth流程中使用脏舞进行账户劫持”的研究位居PortSwigger 2022年十大Web黑客技术榜首。

这项于7月发布的研究被PortSwigger研究总监James Kettle在2月8日宣布结果的博客文章中称赞为“将OAuth特性与低影响URL泄漏工具(包括混杂的postMessages、第三方XSS和URL存储)串联起来的大师级课程”。

Kettle补充道:“许多这类漏洞此前可能因没有重大安全影响而被忽视,因此它们有多年时间扩散。”

不要错过:2022年十大Web黑客技术

研究人员称赞Rosén完成了一项“杰出的研究,我们预计将在未来多年持续产生成果”。

Rosén告诉The Daily Swig:“我非常感激和谦卑,能在一年中众多伟大研究人员及其精彩文章中名列第一。”

“今年我做的不同之处是,开始深入研究一个主题时甚至没有一个单一的漏洞作为起点。这只是一个潜在概念的想法。”

阅读更多:OAuth中的‘脏舞’:研究人员披露网络攻击如何导致账户劫持

“再次感谢PortSwigger公开披露行业人员的发现和方法——在我看来,这是推动行业前进的最佳方式之一。”

Rosén由同行组成的评审小组宣布为获胜者,评审包括Nicolas Grégoire、Soroush Dalili、Filedescriptor和Kettle。

HTTP请求走私的新前沿

在凭借“HTTP/2:续集总是更糟”获得2021年排名第二后,这次研究人员通过利用新颖的HTTP请求走私向量入侵目标(包括Amazon和Apache)“并最终将攻击客户端带入受害者的浏览器”而令人印象深刻。

相关:浏览器驱动的异步攻击:HTTP请求走私的新前沿

被称为“技术上极具挑战性”的研究“浏览器驱动的异步攻击”让一位评委热情称赞:“从异步蠕虫(让人想起XSS蠕虫)到客户端异步的创造力超出图表”。

Kettle预计请求走私作为新颖威胁的丰富来源将持续多年,直到“HTTP/1被完全淘汰”。

Memcache注入和Zimbra

排名第三的是Google的Simon Scannell,他在商业Web邮件平台Zimbra中发现了一个memcached注入漏洞,允许攻击者毒化不知情受害者的缓存并窃取明文凭证。

阅读更多:商业邮件平台Zimbra修补危及用户凭证的memcached注入漏洞

Kettle表示,这项也部署了请求走私的研究展示了拥有“对目标的深入了解”的价值。

当时在瑞士公司Sonar的Scannell在他的研究中写道:“通过持续向Memcached的共享响应流中注入比工作项更多的响应,我们可以强制随机Memcached查找使用注入的响应而不是正确的响应。”

‘推动边界’

PortSwigger的第16届年度十大Web黑客技术评选创纪录地收到46项提名,最初根据信息安全社区的投票缩减为15名决赛候选人。

Kettle指出“完全新颖的技术和类突破变得越来越罕见”,但表示更多研究人员“正在推动边界并分享他们的发现,比以往任何时候都多”。

以下是前十名的其余简要介绍(阅读James Kettle的帖子获取更详细分析):

  1. Felix Wilhelm的“用SAML黑客攻击云”最终利用整数截断漏洞的XML文档,在Java尝试验证其签名时触发任意字节码执行
  2. Markus Wulftange的“绕过.NET序列化绑定器”导致DevExpress框架和Microsoft Exchange中的漏洞,为远程代码执行打开大门
  3. James Kettle的“通过响应队列毒化使HTTP头注入成为关键”探索了“被长期遗忘的响应拆分技术,具有高影响、高回报的案例研究”
  4. Jacopo Tediosi的“全球所有Akamai边缘节点的服务器端缓存毒化”利用HTTP逐跳头获得大量漏洞赏金(过程中遇到一些分类困难)
  5. Neil Madden的“Java中的心灵签名”使用数字0伪造ECDSA签名,并颠覆了JWT和SAML等核心Web技术的加密基础
  6. Medi的“实用的客户端路径遍历攻击”强调了一个“可见”但被忽视的问题,现在应被认可为“独立的漏洞”
  7. Sam Curry的“利用Web3的隐藏攻击面:Netlify的Next.js库上的通用XSS”通过源自Netlify的Next.js库的XSS、SSRF和缓存毒化危害各种加密货币网站

上一版:依赖混淆位居PortSwigger 2021年年度Web黑客列表榜首

黑客新闻 | 行业新闻 | 黑客技术 | 黑客文化 | 漏洞 | 身份验证 | XSS | 漏洞赏金 | JavaScript | Java | 安全开发 | 研究 | Google | 核心

Adam Bannister
@Ad_Nauseum74

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次