眾所周知,每年,專業研究人員、經驗豐富的滲透測試人員、bug 賞金獵人和學者都會發表大量的博客文章、演示文稿、視頻和白皮書。無論是提出新的攻擊技術、混合老的技術,還是記錄漏洞查找結果的,其中許多都包含可應用到其他地方的新思想。
經過社區投票和專家小組協商,PortSwigger 選出 2019 年十大 Web hacking 技術。
我們每年都會與社區合作,尋找並分享十種我們認為經得起時間考驗的技術。我們認為這十項技術是去年發表的最具創新性的網絡安全研究的精華所在。
社區最愛:HTTP Desync Attacks
本次,得票最多的是 HTTP Desync Attacks。我重新使用被人們遺忘很久的 HTTP 請求夾帶攻擊( HTTP Request Smuggling )技術,獲得超過 9 萬美金的 bug 賞金,兩次入侵 PayPal 的登錄頁面,並在更廣泛的社區中掀起一波漏洞查找熱潮。
10. 利用 Null 字節緩衝區溢出獲得 4 萬美元賞金
排在第 10 位的是內存安全漏洞( memory-safety exploit ),來自 Sam Curry 和他的朋友們,它具有“心臟出血”漏洞般的風格。事實上,這個嚴重但容易被忽略的漏洞幾乎肯定會影響其他網站。並且,它提醒我們,即使你是專家,仍然有某個地方可以讓你簡單地進行模糊處理,並且要密切關注任何意外情況的發生。
9. 微軟 Edge(Chromium): RCE 中的潛在 EoP
在這篇文章中, Abdulrhman Alqabandi 使用了一種混合了網絡和二進制攻擊的方法來偽造任何使用微軟新型 Chromium-Powered Edge(又名 Edgium)訪問其網站的人。
現在,提供了 4 萬美元的漏洞賞金來對其進行修補,但是,它仍然是漏洞攻擊鏈的一個典型例子,該漏洞攻擊鏈結合多個低嚴重程度的漏洞,以實現其關鍵影響,它也很好地演示瞭如何通過特權來源將 Web 漏洞滲透到我們的桌面上。
8. 像 NSA 一樣滲透企業內網:在領先的 SSL VPN 中預授權 RCE
Orange Tsai 在 SSL VPN 中發現了多個未經驗證的 RCE 漏洞。
VPN 在互聯網上享有的特權地位意味著,就純粹的影響力而言,這已經是最好的結果了。儘管所採用的技術基本上都是經典的,但是它們使用了一些創造性的技巧,在這裡我不打算劇透。這項研究催生了針對 SSL VPN 的審計浪潮,從而導致許多漏洞的發現,包括上週發佈的一系列 SonicWall 漏洞。
7. 作為 Bug 賞金獵人探索 CI 服務
現代網站是由許多依靠秘鑰來識別彼此的服務拼湊而成的。一旦這些信息洩露,信任之網就會分崩離析。持續集成(CI)存儲庫 / 日誌中的秘鑰洩露是很常見的,而通過自動化查找它們的機率甚至會更高。
然而, EdOverflow 等人的這項研究系統揭示了被忽視的案例和潛在的未來研究領域。這也很可能是熱鬧的站點/ 工具 SSHGit 的靈感來源。
6. 所有進入.NET 的都是 XSS
Paweł Hałdrzyński 採用了.NET 框架中一個鮮為人知的遺留特性,並展示瞭如何使用它來向任意端點上的 URL 路徑添加任意內容,當我們意識到甚至是我們自己的網站也支持它時,我們感到了恐慌。
它讓人聯想到了 RPO( Relative Path Overwrite )攻擊,這是一個有時會觸發漏洞攻擊鏈的奧秘。在這篇文章中,它被用於 XSS,但我們強烈懷疑將來它還會出現其他濫用的情況。
5. 谷歌搜索 XSS
谷歌搜索框可能是這個星球上經過最嚴格測試的輸入了,因此 Masato Kinugawa 是如何對 XSS 進行管理的就令人費解了,直到他通過與同事 LiveOverflow 的合作才揭示了這一切。
這兩段視頻對如何通過閱讀文檔和模糊測試來發現 DOM 解析漏洞提供了詳細介紹,並且它們還提供了一個難得的機會來讓我們瞭解這一偉大開發背後的創造性。
4. 針對未經身份驗證的 RCE 濫用元編程
Orange Tsai 在 Jenkins 中返回了一個預先授權的 RCE,並在兩篇文章中對其進行了介紹。身份驗證繞過是不錯的方法,但是我們最喜歡的創新是使用元編程來創建一個後門,該後門在面對眾多環境限制的情況下在編譯時執行。我們希望將來會再次看到元編程。
這也是繼續研究的一個很好的例子,因為後來多個研究人員對該漏洞進行了改進。
3. 通過服務器端請求偽造,以擁有影響力
Ben Sadeghipour 和 Cody Brocious 的這次演講首先概述了現有的 SSRF 技術,展示瞭如何將其改編並應用到服務器端的 PDF 生成器中,然後將 DNS 重新綁定引入到其中以獲得優良效果。
針對 PDF 生成器的工作是對特性類的深入研究,這些特性類太容易被忽略了。我們首次看到服務器端瀏覽器上的DNS 重新綁定是在 2018 年的提名名單上,應該由於是 HTTPRebind 的發佈,才使這種攻擊比之前更容易獲得了。
最後,在這一點上我可能是錯的,但我懷疑這個演示文稿還是值得稱讚的,因為它最終說服 Amazon 考慮保護其 EC2 元數據終點。
2. 跨站洩漏
跨站洩漏(Cross-site Leaks)已經持續很長時間了。早在 10 年前就有相關記錄,並且在去年它悄悄進入到了我們的前十名,直到 2019 年,人們才意識到這一攻擊級別及其數量的驚人變化。
如此大規模的信任很難分攤,但我們顯然要感謝 Eduardo Vela 用新技術簡明地介紹了這一概念,感謝他為建立已知的 XS-Leak 向量公開清單所作出的努力,而且研究人員應用 XS-Leak 技術取得了很好的效果。
XS-Leak 已經對網絡安全領域產生了持久的影響,因為它們在瀏覽器 XSS 過濾器的消亡中發揮了重要作用。塊模式 XSS 過濾是造成 XS-Leak 向量的主要原因,這與更糟糕的過濾模式問題相結合,導致 Edge 和後來的 Chrome 都放棄了過濾器,這是網絡安全的勝利,也是網絡安全研究人員的災難。
1. 緩存與混淆:野生 Web 緩存的欺騙
在這篇學術白皮書中, Sajjad Arshad 等人採用了 Omer Gil 的 Web 緩存欺騙技術(該技術在 2017 年我們的前十名中排名第二),並在 Alexa 排名前 5000 的網站上共享了對 Web 緩存欺騙漏洞的系統研究。
出於法律上的原因,大多數帶有攻擊性的安全研究都是在專業審計期間進行的,或是在有 bug 賞金計劃的網站上進行的,但是通過謹慎的道德操守,這項研究可以使我們更廣泛地瞭解網絡的安全狀態。藉助精心設計的方法,它可以很容易地適應於其他技術,他們證明了 Web 緩存欺騙仍然是一種普遍存在的威脅。
除了方法論之外,另一個關鍵的創新是它引入了五種新的路徑混淆技術,從而擴大了易受攻擊網站的數量。在記錄 Web 緩存提供程序的緩存行為方面,它們也比許多提供程序本身做得更好。總體而言,這是社區將現有研究轉向新方向的一個極好的例子,也是當之無愧的第一名!
結論
除了上述十大 web hacking 技術,我們建議大家查看完整的查看完整的提名名單。
閱讀更多 InfoQ 的文章
