這是portswigger網站經過社區投票所選出2019年十大網絡黑客技術。先從51項提名選出15項,再通過一個由Nicolas Grégoire、Soroush Dalili、Filedesc riptor和James Kettle組成的專家小組進行了協商、投票最終並選出了2019年十大網絡黑客技術。
每一年,無數專業研究人員、經驗豐富的滲透測試員、漏洞賞金獵人都會發布大量的博客、演講、視頻和技術白皮書。無論是新發明的攻擊技術、重新利用的舊技術,還是記錄所有的安全發現,其中都包含著很多可以帶來啟發的新思想。
不過,在帶有明顯標識和用於營銷團隊的漏洞層出不窮的日子裡,新技術和新創意很容易被忽略,因為它們沒有得到足夠的傳播。這就是為什麼我們每年都要與安全社區合作,尋找並銘記十項我們認為經得起時間考驗的技術。
我們認為以下十個是去年發表的最具創新性的網絡安全研究的精華。每個條目都包含著有抱負、有理想的研究人員、測試人員、漏洞賞金獵人對Web安全發展的最新個人見解。
社區最愛——HTTP異步攻擊
以較大優勢獲得最多社區投票的安全研究是HTTP異步攻擊,在這篇文章中,作者重新使用了被遺忘已久的HTTP Request Smuggling技術,兩次破壞了PayPal的登錄頁面,獲得了超過9萬美元的漏洞賞金,並引發了廣泛討論和研究。雖然投票很高,但我認為決定把它排除在10名之外,因為這是我自己寫的,我實在無法把自己的文章排在第一。
10.利用空字節緩衝區溢出獲得40000美元賞金
排在第10位的是Sam Curry和他的朋友們,他們公佈了一種神奇的、心臟出血式內存安全攻擊技術。這個關鍵但容易被忽視的漏洞幾乎肯定會影響其他網站,同時也提醒我們,即使你是一個安全專家,但仍需關注簡單和任何意想不到的地方。
9.微軟Edge瀏覽器(Chromium)—EoP到RCE
在這篇文章中,Abdulrhman Alqabandi使用了一種混合了Web和二進制攻擊的方法來懲罰那些使用微軟最新Chrome Edge瀏覽器來訪問他的網站的人。
這個漏洞帶來了40000美元的賞金,是一個通過多個低級漏洞實現嚴重攻擊效果的完美示例,同時也演示了Web漏洞如何通過提權影響到你的桌面。這也啟發了我們去更新Hackability。
想要了解其他瀏覽器的Web漏洞亂象,請查看Remote Code Execution in Firefox beyond memory corruptions。
8.像NSA一樣滲透企業內部網:SSL VPN的RCE
這個安全項目的研究者Orange Tsai與Meh Chang是首次出現一起出現在該榜單,他在多個SSL VPN中均發現了無需身份驗證的RCE漏洞。
VPN所處的特殊的網絡位置意味著其一旦出現漏洞,帶來的影響是巨大的。研究中雖然使用的大部分都是經典技術,但也涉及了一些創造性的技巧,我在這裡並不打算劇透。這個研究也催生了一波針對SSL VPN的審計,催生了大量的漏洞,包括上週公佈的一系列SonicWall漏洞。
7.探索CI服務
現代的網站是由許多依靠secret來識別彼此的服務拼湊而成的。一旦這些信息洩漏,彼此間的信任就會分崩離析。而在持續集成存儲庫/日誌中,secret的洩漏是很常見的,你甚至可以通過自動化腳本找到它們。而EdOverflow等人的這項研究系統地揭示了被忽視的安全案例和潛在的安全研究領域。這也很可能是站點工具SSHGit的靈感來源。
6.所有.net頁面都有XSS
監控新發布的安全研究是我工作的核心部分,但當這篇文章第一次發佈時,我還是完美錯過了它。幸運的是,社區裡有人擁有更敏銳的眼光,提名了它。
Paweł Hałdrzyński展示了鮮為人知的.net框架的舊特徵,並表明它可以用來添加任意內容到任意端點上的URL路徑中。這甚至引起了我們的一些恐慌。
這讓人想起了相對路徑覆蓋攻擊,這是一個有時可用來觸發攻擊鏈的奧義。在這篇文章中,它被用於插入XSS,但我們強烈懷疑將來會出現其他更具威脅的利用。
5.谷歌搜索XSS
谷歌搜索框可能是這個星球上被測試得最多的輸入框,因此Masato Kinugawa和LiveOverflow是如何找從中出XSS漏洞吸引了所有人的目光。
這兩個視頻提供了關於如何通過閱讀文檔和模糊測試來發現DOM解析錯誤的詳細介紹,並且還提供了一個難得的機會來了解這一偉大發現背後的創造性。
4.為實現未授權RCE而使用的元編程
Orange Tsai展示了在Jenkins中的無需身份驗證的RCE,發表了兩篇相關文章。身份驗證繞過的確不錯,但是我們最喜歡的創新是使用元編程來創建一個在編譯時執行的後門,這將面對大量的系統環境的約束,我們期待在未來再次看到元編程。
這也是一個很好的深入研究的例子,因為這個漏洞後來被多個研究人員進行了改進。
3.通過SSRF控制網絡
Ben Sadeghipour和Cody Brocious的這個研究首先概述了現有的SSRF技術,展示瞭如何將它們應用到服務器端的PDF生成器中,然後再將DNS重新綁定引入其中。
針對PDF生成器的研究既需要深厚的知識又很容易被忽略。我們首次看到服務器端瀏覽器上的DNS重新綁定出現在2018年的提名名單上,而HTTPRebind的發佈應該有助於使這種攻擊順利進行。
最後,我認為這也許能說服Amazon更好地保護其EC2元數據端點。
2.跨站洩露
跨站洩漏已經存在了很長時間,早在十多年前就有記錄,並在去年悄悄進入我們的前十名。直到2019年,這種類型的攻擊才開始爆發,數量大幅上漲。
很難在這麼大的範圍內選出貢獻者,但我們顯然要感謝Eduardo Vela用一種新技術簡明地介紹了這個概念,並通過合作努力建立了一個公共的XS-Leak vectors列表,研究人員最終也通過跨站洩漏技術取得了很大的成果。
由於在瀏覽器XSS過濾器的死亡中扮演了主要角色,跨站洩漏已經對Web安全領域產生了深遠的影響。模塊化XSS過濾是造成跨站洩漏的主要原因,這與過濾模式中更糟糕的問題相結合,導致Edge和後來的Chrome都放棄了他們的XSS過濾器,這對網絡安全研究人員來說是一個勝利,也可能是一個災難。
1.緩存和混淆:Web緩存欺騙
在這篇學術白皮書中,Sajjad Arshad等人採用了Omer Gil的網絡緩存欺騙技術(早在2017年就在我們的前10名榜單中排名第二),並針對Alexa排名前5000的網站分享了對網絡緩存欺騙的整體探索。
出於法律上的原因,大多數對攻擊性技術的研究是在專業安全審計期間或在有漏洞程序的網站上進行的,但是通過更謹慎的步驟,這項研究可幫你更廣泛地瞭解全球網絡安全的狀態。通過精心設計的方法,他們證明了Web緩存欺騙仍然是一種普遍存在的威脅。
除了技術方法,另一個關鍵的創新是引入了五種新的路徑混淆技術,擴大了攻擊面。而在記錄Web緩存程序的緩存行為方面,它們也比程序本身做得更好。總的來說,這是社區將已有研究轉向新方向的一個極好的例子,也是當之無愧的第一名!
結論
今年我們看到了一組特別強勁的提名,很多優秀的研究最終沒有進入前十。我建議可以查看完整的提名名單。
年復一年,我們看到了來自他人的偉大研究,所以我們要感謝每一個發表他們研究成果的人,無論他們是否被提名。最後,我們要感謝社會各界的積極參與,沒有你們的提名和投票,這一切都是不可能的。
明年再見!
<code>本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場來源:https://portswigger.net/research/top-10-web-hacking-techniques-of-2019/<code>
閱讀更多 白帽子 的文章
