作者 | James Kettle
译者 | Aaron
来源 | https://portswigger.net/research/top-10-web-hacking-techniques-of-2019
“ 通过社区投票将51个提名减少到15个决赛入围者之后,由NicolasGrégoire,Soroush Dalili,Filedescriptor和我本人组成的专家小组授予,投票并选择了2019年的十大新的网络黑客技术。”
每年,专业研究人员,经验丰富的测试者,赏金猎人和学者发布大量博客文章,演示文稿,视频和白皮书。无论他们是建议新的攻击技术,重新混合旧的技术还是记录发现,这些技术中许多都包含可以在其他地方应用的新颖思想。
但是,在如今这些带有徽标和营销团队的漏洞不断涌现的时代,创新技术和创意很容易被噪声所遗漏,这仅仅是因为它们的声音不够大。因此,我们每年都会与社区合作,寻找并奉献十种我们认为经得起时间考验的技术。
我们认为这十项是去年发布的最具创新性的Web安全性研究的关键。每个条目都包含有抱负的研究人员,测试人员,漏洞赏金猎人以及对Web安全的最新发展感兴趣的其他人的见解。
社区投票最多的条目是HTTP异步攻击,在该条目中,我恢复了人们长期以来遗忘的HTTP请求走私技术,从而获得了超过9万美元的错误赏金,两次入侵PayPal的登录页面,并启动了一系列调查结果为更广泛的社区。我认为这是迄今为止我最好的研究,但是我做出了战术决定,将其排除在官方的前十名之外,因为我不可能写一篇文章来宣布我自己的研究是最好的。
10.利用Null Byte缓冲区溢出获得$40,000的赏金
排名第十的是Sam Curry和他的朋友们,我们有一个令人心碎的安全漏洞记忆。这一关键但容易被忽视的漏洞几乎肯定会影响到其他网站,并提醒我们,即使你是一个专家,仍然有一个地方可以仅仅进行模糊测试并留意任何意外情况。
9.Microsoft Edge(Chromium)-EoP到潜在的RCE
在这篇文章中,Abdulrhman Alqabandi使用web和二进制攻击的混合体,对任何使用微软新的Chromium-Powered Edge(又名Edgium)访问其网站的人进行攻击。
现已提供40,000美元的赏金,现在已进行了修补,但这仍然是漏洞利用链的一个很好的例子,该漏洞利用链结合了多个低严重度漏洞以实现关键影响,还很好地展示了网络漏洞如何通过特权来源渗透到您的桌面上。它启发了我们更多的可攻击性,以通过扫描chrome对象来检测它何时位于特权来源上。
要进一步了解浏览器战场中的网络漏洞混乱情况,请查看Firefox中的远程代码执行(内存破坏除外)。
8.像NSA一样渗透企业内部网:领先的SSL VPN的预认证RCE
现任得奖者Orange Tsai与Meh Chang一起首次露面,并揭露了在SSL VPN中出现了多个未经身份验证的RCE 漏洞。
VPN在互联网上享有的特权地位意味着,就纯粹的影响力而言,这是最好的选择。尽管所使用的技术在很大程度上是经典技术,但它们使用了一些创造性的技巧。这项研究有助于引发针对SSL VPN的审核浪潮,从而得出了许多发现,包括上周发布的一系列SonicWall漏洞。
7.探索CI服务作为漏洞赏金猎人
现代网站是由众多依靠相互识别的服务拼凑而成的,当这些漏洞泄漏时,信任之网就会瓦解。持续集成存储库/日志中泄露的机密很常见,而通过自动化查找它们的机率甚至更高。
然而,EdOverflow等人的这项研究系统地为被忽视的案例和潜在的未来研究领域提供了新的思路。这也很可能是热闹的站点/工具SSHGit的灵感来源。
6.来自.NET附带的XSS
关注新颖的研究是我工作的核心部分,但是当这篇文章首次发布时,我仍然完全错过了这篇文章。幸运的是,社区中的某人拥有更敏锐的眼睛并获得提名。
PawełHałdrzyński 继承了.NET框架的鲜为人知的旧功能,并展示了如何使用它来向任意端点上的URL路径添加任意内容,当我们意识到甚至我们自己的网站都支持它时,我们感到有些恐慌。
这让人联想到“相对路径覆盖”攻击,这是一个可能会触发漏洞攻击链的奥秘。在该帖子中,它已用于XSS,但我们强烈怀疑将来还会出现其他滥用情况。
5.Google搜索XSS
Google搜索框可能是地球上经过最严格测试的输入,因此Masato Kinugawa是如何做到XSS的,这是无法理解的,直到他通过与同事LiveOverflow的合作揭示了漏洞信息。
这两个视频提供了一个关于如何通过阅读文档和模糊化来发现DOM解析错误的可靠介绍,同时也罕见地展示了这一伟大漏洞利用背后的创造力。
4.针对未经身份验证的RCE滥用元编程
Orange Tsai在两篇文章中进行了介绍了Jenkins具有预认证的RCE。在绕过身份验证是好的,但我们最喜欢的创新是使用元编程来创建一个后门,在编译时执行,在众多环境的约束。我们希望将来会再次看到元编程。
这也是研究持续发展的一个很好的例子,因为后来该漏洞利用被多个研究人员所改进。
3.通过服务器端请求伪造来拥有影响力
该演讲由本Sadeghipour和Cody Brocious概述了现有的SSRF技术,展示了如何将它们应用到服务器端的PDF生成器,然后将DNS重新绑定引入到组合中以获得良好的效果。
针对PDF生成器的工作是对功能类的深刻见解,而这些功能类太容易被忽略了。我们第一次看到服务器端浏览器上的DNS重新绑定出现在2018年提名列表中,并且HTTPRebind的发布应有助于使此攻击比以往更易于攻击。
最后,我对此可能是错的,但是我怀疑这个演示文稿可能值得赞扬,因为它最终说服了亚马逊考虑保护其EC2元数据终结点。
2.跨站泄漏
跨站泄漏已经持续了很长时间,最早在10年前就被记录下来,并在去年跻身我们的前十名,直到2019年,人们才开始意识到这种攻击类别及其庞大的疯狂变种。
如此规模的信用很难分摊,但我们显然要感谢Eduardo Vela用一种新技术简洁地介绍了这一概念,共同努力建立已知的XS-Leak向量的公开清单,以及研究人员将XS-Leak技术应用的效果很好。
XS-Leaks已经对Web安全领域产生了持久影响,因为它们在浏览器XSS过滤器的消失中发挥了重要作用。块模式XSS过滤是XS-Leak向量的主要来源,这与更糟糕的过滤模式问题相结合,以说服Edge和后来的Chrome放弃过滤器,这是web安全的胜利,也是web安全研究人员的灾难一样。
1.缓存和困惑:狂野中的Web缓存欺骗
在这篇学术白皮书中,Sajjad Arshad等人采用了Omer Gil的Web缓存欺骗技术(该技术在2017年我们的前10名中排名第二),并在Alexa Top 5000网站上共享了对Web缓存欺骗漏洞的系统研究。
出于法律原因,大多数攻击性安全研究是在专业审核期间或在有漏洞赏金计划的网站上进行的,但是通过认真的道德操守,这项研究可以使您更广泛地了解网络上的安全状态。借助精心设计的方法(可以轻松地适用于其他技术),他们证明了Web缓存欺骗仍然是普遍存在的威胁。
除了方法论外,另一个关键创新是引入了五种新颖的路径混淆技术,这些技术扩大了易受攻击的网站的数量。与许多提供程序本身相比,它们在记录Web缓存提供程序的缓存行为方面也做得更好。总体而言,这是社区将现有研究朝着新的方向发展的极好例子,也是当之无愧的第一!
结论
年复一年,我们看到伟大的研究源于其他人的想法,因此,我们要感谢所有花时间发表他们的发现的人,无论是否提名。