2019年十大網絡黑客技術
作者 | James Kettle
譯者 | Aaron
來源 | https://portswigger.net/research/top-10-web-hacking-techniques-of-2019
“ 通過社區投票將51個提名減少到15個決賽入圍者之後,由NicolasGrégoire,Soroush Dalili,Filedescriptor和我本人組成的專家小組授予,投票並選擇了2019年的十大新的網絡黑客技術。 ”
每年,專業研究人員,經驗豐富的測試者,賞金獵人和學者發佈大量博客文章,演示文稿,視頻和白皮書。無論他們是建議新的攻擊技術,重新混合舊的技術還是記錄發現,這些技術中許多都包含可以在其他地方應用的新穎思想。
但是,在如今這些帶有徽標和營銷團隊的漏洞不斷湧現的時代,創新技術和創意很容易被噪聲所遺漏,這僅僅是因爲它們的聲音不夠大。因此,我們每年都會與社區合作,尋找並奉獻十種我們認爲經得起時間考驗的技術。
我們認爲這十項是去年發佈的最具創新性的Web安全性研究的關鍵。每個條目都包含有抱負的研究人員,測試人員,漏洞賞金獵人以及對Web安全的最新發展感興趣的其他人的見解。
社區最受歡迎的-HTTP異步攻擊
社區投票最多的條目是HTTP異步攻擊,在該條目中,我恢復了人們長期以來遺忘的HTTP請求走私技術,從而獲得了超過9萬美元的錯誤賞金,兩次入侵PayPal的登錄頁面,並啓動了一系列調查結果爲更廣泛的社區。我認爲這是迄今爲止我最好的研究,但是我做出了戰術決定,將其排除在官方的前十名之外,因爲我不可能寫一篇文章來宣佈我自己的研究是最好的。
10.利用Null Byte緩衝區溢出獲得$40,000的賞金
排名第十的是Sam Curry和他的朋友們,我們有一個令人心碎的安全漏洞 記憶 。 這一關鍵但容易被忽視的漏洞幾乎肯定會影響到其他網站,並提醒我們,即使你是一個專家,仍然有一個地方可以僅僅進行模糊測試並留意任何意外情況。
9.Microsoft Edge(Chromium)-EoP到潛在的RCE
在這篇文章中,Abdulrhman Alqabandi使用web和二進制攻擊的混合體,對任何使用微軟新的Chromium-Powered Edge(又名Edgium)訪問其網站的人進行攻擊。
現已提供40,000美元的賞金,現在已進行了修補,但這仍然是漏洞利用鏈的一個很好的例子,該漏洞利用鏈結合了多個低嚴重度漏洞以實現關鍵影響,還很好地展示了網絡漏洞如何通過特權來源滲透到您的桌面上。 它啓發了我們更多的可攻擊性,以通過掃描chrome對象來檢測它何時位於特權來源上。
要進一步瞭解瀏覽器戰場中的網絡漏洞混亂情況,請查看Firefox中的遠程代碼執行(內存破壞除外)。
8.像NSA一樣滲透企業內部網: 領先的SSL VPN的預認證RCE
現任得獎者Orange Tsai與Meh Chang一起首次露面,並揭露了在SSL VPN中出現了多個未經身份驗證的RCE 漏洞。
VPN在互聯網上享有的特權地位意味着,就純粹的影響力而言,這是最好的選擇。 儘管所使用的技術在很大程度上是經典技術,但它們使用了一些創造性的技巧。 這項研究有助於引發針對SSL VPN的審覈浪潮,從而得出了許多發現,包括上週發佈的一系列SonicWall漏洞。
7.探索CI服務作爲漏洞賞金獵人
現代網站是由衆多依靠相互識別的服務拼湊而成的, 當這些漏洞泄漏時,信任之網就會瓦解。 持續集成存儲庫/日誌中泄露的機密很常見,而通過自動化查找它們的機率甚至更高。
然而,EdOverflow等人的這項研究系統地爲被忽視的案例和潛在的未來研究領域提供了新的思路。 這也很可能是熱鬧的站點/工具SSHGit的靈感來源。
6.來自.NET附帶的XSS
關注新穎的研究是我工作的核心部分,但是當這篇文章首次發佈時,我仍然完全錯過了這篇文章。 幸運的是,社區中的某人擁有更敏銳的眼睛並獲得提名。
PawełHałdrzyński 繼承了.NET框架的鮮爲人知的舊功能,並展示瞭如何使用它來向任意端點上的URL路徑添加任意內容,當我們意識到甚至我們自己的網站都支持它時,我們感到有些恐慌。
這讓人聯想到“相對路徑覆蓋”攻擊,這是一個可能會觸發漏洞攻擊鏈的奧祕。 在該帖子中,它已用於XSS,但我們強烈懷疑將來還會出現其他濫用情況。
5.Google搜索XSS
Google搜索框可能是地球上經過最嚴格測試的輸入,因此Masato Kinugawa是如何做到XSS的,這是無法理解的,直到他通過與同事LiveOverflow的合作揭示了漏洞信息。
這兩個視頻提供了一個關於如何通過閱讀文檔和模糊化來發現DOM解析錯誤的可靠介紹,同時也罕見地展示了這一偉大漏洞利用背後的創造力。
4.針對未經身份驗證的RCE濫用元編程
Orange Tsai在兩篇文章中進行了介紹了Jenkins具有預認證的RCE。 在繞過身份驗證是好的,但我們最喜歡的創新是使用元編程來創建一個後門,在編譯時執行,在衆多環境的約束。 我們希望將來會再次看到元編程。
這也是研究持續發展的一個很好的例子,因爲後來該漏洞利用被多個研究人員所改進。
3.通過服務器端請求僞造來擁有影響力
該演講由本Sadeghipour和Cody Brocious概述了現有的SSRF技術,展示瞭如何將它們應用到服務器端的PDF生成器,然後將DNS重新綁定引入到組合中以獲得良好的效果。
針對PDF生成器的工作是對功能類的深刻見解,而這些功能類太容易被忽略了。 我們第一次看到服務器端瀏覽器上的DNS重新綁定出現在2018年提名列表中,並且HTTPRebind的發佈應有助於使此攻擊比以往更易於攻擊。
最後,我對此可能是錯的,但是我懷疑這個演示文稿可能值得讚揚,因爲它最終說服了亞馬遜考慮保護其EC2元數據終結點。
2.跨站泄漏
跨站泄漏已經持續了很長時間,最早在10年前就被記錄下來,並在去年躋身我們的前十名,直到2019年,人們纔開始意識到這種攻擊類別及其龐大的瘋狂變種。
如此規模的信用很難分攤,但我們顯然要感謝Eduardo Vela用一種新技術簡潔地介紹了這一概念,共同努力建立已知的XS-Leak向量的公開清單,以及研究人員將XS-Leak技術應用的效果很好。
XS-Leaks已經對Web安全領域產生了持久影響,因爲它們在瀏覽器XSS過濾器的消失中發揮了重要作用。 塊模式XSS過濾是XS-Leak向量的主要來源,這與更糟糕的過濾模式問題相結合,以說服Edge和後來的Chrome放棄過濾器,這是web安全的勝利,也是web安全研究人員的災難一樣。
1.緩存和困惑: 狂野中的Web緩存欺騙
在這篇學術白皮書中,Sajjad Arshad等人採用了Omer Gil的Web緩存欺騙技術(該技術在2017年我們的前10名中排名第二),並在Alexa Top 5000網站上共享了對Web緩存欺騙漏洞的系統研究。
出於法律原因,大多數攻擊性安全研究是在專業審覈期間或在有漏洞賞金計劃的網站上進行的,但是通過認真的道德操守,這項研究可以使您更廣泛地瞭解網絡上的安全狀態。 藉助精心設計的方法(可以輕鬆地適用於其他技術),他們證明了Web緩存欺騙仍然是普遍存在的威脅。
除了方法論外,另一個關鍵創新是引入了五種新穎的路徑混淆技術,這些技術擴大了易受攻擊的網站的數量。 與許多提供程序本身相比,它們在記錄Web緩存提供程序的緩存行爲方面也做得更好。 總體而言,這是社區將現有研究朝着新的方向發展的極好例子,也是當之無愧的第一!
結論
年復一年,我們看到偉大的研究源於其他人的想法,因此,我們要感謝所有花時間發表他們的發現的人,無論是否提名。
