Categories
程式開發

2019年十大web hacking技術


2019年十大web hacking技術 1

眾所周知,每年,專業研究人員、經驗豐富的滲透測試人員、bug賞金獵人和學者都會發表大量的博客文章、演示文稿、視頻和白皮書。無論是提出新的攻擊技術、混合老的技術,還是記錄漏洞查找結果的,其中許多都包含可應用到其他地方的新思想。

經過社區投票和專家小組協商,PortSwigger選出2019年十大Web hacking技術。

我們每年都會與社區合作,尋找並分享十種我們認為經得起時間考驗的技術。我們認為這十項技術是去年發表的最具創新性的網絡安全研究的精華所在。

社區最愛:HTTP Desync Attacks

本次,得票最多的是HTTP Desync Attacks。我重新使用被人們遺忘很久的HTTP請求夾帶攻擊(HTTP Request Smuggling)技術,獲得超過9萬美金的bug賞金,兩次入侵PayPal的登錄頁面,並在更廣泛的社區中掀起一波漏洞查找熱潮。

10.利用Null字節緩衝區溢出獲得4萬美元賞金

排在第10位的是內存安全漏洞(memory-safety exploit),來自Sam Curry和他的朋友們,它具有“心臟出血”漏洞般的風格。事實上,這個嚴重但容易被忽略的漏洞幾乎肯定會影響其他網站。並且,它提醒我們,即使你是專家,仍然有某個地方可以讓你簡單地進行模糊處理,並且要密切關注任何意外情況的發生。

9.微軟Edge(Chromium): RCE中的潛在EoP

在這篇文章中,Abdulrhman Alqabandi 使用了一種混合了網絡和二進制攻擊的方法來偽造任何使用微軟新型Chromium-Powered Edge(又名Edgium)訪問其網站的人。

現在,提供了4萬美元的漏洞賞金來對其進行修補,但是,它仍然是漏洞攻擊鏈的一個典型例子,該漏洞攻擊鏈結合多個低嚴重程度的漏洞,以實現其關鍵影響,它也很好地演示瞭如何通過特權來源將Web漏洞滲透到我們的桌面上。

8.像NSA一樣滲透企業內網:在領先的SSL VPN中預授權RCE

Orange TsaiSSL VPN中發現了多個未經驗證的RCE漏洞。

VPN在互聯網上享有的特權地位意味著,就純粹的影響力而言,這已經是最好的結果了。儘管所採用的技術基本上都是經典的,但是它們使用了一些創造性的技巧,在這裡我不打算劇透。這項研究催生了針對SSL VPN的審計浪潮,從而導致許多漏洞的發現,包括上週發布的一系列SonicWall漏洞

7.作為Bug賞金獵人探索CI服務

現代網站是由許多依靠秘鑰來識別彼此的服務拼湊而成的。一旦這些信息洩露,信任之網就會分崩離析。持續集成(CI)存儲庫/日誌中的秘鑰洩露是很常見的,而通過自動化查找它們的機率甚至會更高。

然而,EdOverflow等人的這項研究系統揭示了被忽視的案例和潛在的未來研究領域。這也很可能是熱鬧的站點/工具SSHGit的靈感來源。

6.所有進入.NET的都是XSS

Paweł Hałdrzyński 採用了.NET框架中一個鮮為人知的遺留特性,並展示瞭如何使用它來向任意端點上的URL路徑添加任意內容,當我們意識到甚至是我們自己的網站也支持它時,我們感到了恐慌。

它讓人聯想到了RPO(Relative Path Overwrite)攻擊,這是一個有時會觸發漏洞攻擊鏈的奧秘。在這篇文章中,它被用於XSS,但我們強烈懷疑將來它還會出現其他濫用的情況。

5.谷歌搜索XSS

谷歌搜索框可能是這個星球上經過最嚴格測試的輸入了,因此Masato Kinugawa是如何對XSS進行管理的就令人費解了,直到他通過與同事LiveOverflow的合作才揭示了這一切。

這兩段視頻對如何通過閱讀文檔和模糊測試來發現DOM解析漏洞提供了詳細介紹,並且它們還提供了一個難得的機會來讓我們了解這一偉大開發背後的創造性。

4.針對未經身份驗證的RCE濫用元編程

Orange Tsai在Jenkins中返回了一個預先授權的RCE,並在兩篇文章中對其進行了介紹。身份驗證繞過是不錯的方法,但是我們最喜歡的創新是使用元編程來創建一個後門,該後門在面對眾多環境限制的情況下在編譯時執行。我們希望將來會再次看到元編程。

這也是繼續研究的一個很好的例子,因為後來多個研究人員對該漏洞進行了改進

3.通過服務器端請求偽造,以擁有影響力

Ben SadeghipourCody Brocious這次演講首先概述了現有的SSRF技術,展示瞭如何將其改編並應用到服務器端的PDF生成器中,然後將DNS重新綁定引入到其中以獲得優良效果。

針對PDF生成器的工作是對特性類的深入研究,這些特性類太容易被忽略了。我們首次看到服務器端瀏覽器上的DNS重新綁定是在2018年的提名名單上,應該由於是HTTPRebind的發布,才使這種攻擊比之前更容易獲得了。

最後,在這一點上我可能是錯的,但我懷疑這個演示文稿還是值得稱讚的,因為它最終說服Amazon考慮保護其EC2元數據終點。

2.跨站洩漏

跨站洩漏(Cross-site Leaks)已經持續很長時間了。早在10年前就有相關記錄,並且在去年它悄悄進入到了我們的前十名,直到2019年,人們才意識到這一攻擊級別及其數量的驚人變化。

如此大規模的信任很難分攤,但我們顯然要感謝Eduardo Vela用新技術簡明地介紹了這一概念,感謝他為建立已知的XS-Leak向量公開清單所作出的努力,而且研究人員應用XS-Leak技術取得了很好的效果。

XS-Leak已經對網絡安全領域產生了持久的影響,因為它們在瀏覽器XSS過濾器的消亡中發揮了重要作用。塊模式XSS過濾是造成XS-Leak向量的主要原因,這與更糟糕的過濾模式問題相結合,導致Edge和後來的Chrome都放棄了過濾器,這是網絡安全的勝利,也是網絡安全研究人員的災難。

1.緩存與混淆:野生Web緩存的欺騙

這篇學術白皮書中,Sajjad Arshad等人採用了Omer Gil的Web緩存欺騙技術(該技術在2017年我們的前十名中排名第二),並在Alexa排名前5000的網站上共享了對Web緩存欺騙漏洞的系統研究。

出於法律上的原因,大多數帶有攻擊性的安全研究都是在專業審計期間進行的,或是在有bug賞金計劃的網站上進行的,但是通過謹慎的道德操守,這項研究可以使我們更廣泛地了解網絡的安全狀態。借助精心設計的方法,它可以很容易地適應於其他技術,他們證明了Web緩存欺騙仍然是一種普遍存在的威脅。

除了方法論之外,另一個關鍵的創新是它引入了五種新的路徑混淆技術,從而擴大了易受攻擊網站的數量。在記錄Web緩存提供程序的緩存行為方面,它們也比許多提供程序本身做得更好。總體而言,這是社區將現有研究轉向新方向的一個極好的例子,也是當之無愧的第一名!

結論

除了上述十大web hacking技術,我們建議大家查看完整的查看完整的提名名單

英文原文:

Top 10 web hacking techniques of 2019