这是portswigger网站经过社区投票所选出2019年十大网络黑客技术。先从51项提名选出15项,再通过一个由Nicolas Grégoire、Soroush Dalili、Filedesc riptor和James Kettle组成的专家小组进行了协商、投票最终并选出了2019年十大网络黑客技术。
每一年,无数专业研究人员、经验丰富的渗透测试员、漏洞赏金猎人都会发布大量的博客、演讲、视频和技术白皮书。无论是新发明的攻击技术、重新利用的旧技术,还是记录所有的安全发现,其中都包含着很多可以带来启发的新思想。
不过,在带有明显标识和用于营销团队的漏洞层出不穷的日子里,新技术和新创意很容易被忽略,因为它们没有得到足够的传播。这就是为什么我们每年都要与安全社区合作,寻找并铭记十项我们认为经得起时间考验的技术。
我们认为以下十个是去年发表的最具创新性的网络安全研究的精华。每个条目都包含着有抱负、有理想的研究人员、测试人员、漏洞赏金猎人对Web安全发展的最新个人见解。
以较大优势获得最多社区投票的安全研究是HTTP异步攻击,在这篇文章中,作者重新使用了被遗忘已久的HTTP Request Smuggling技术,两次破坏了PayPal的登录页面,获得了超过9万美元的漏洞赏金,并引发了广泛讨论和研究。虽然投票很高,但我认为决定把它排除在10名之外,因为这是我自己写的,我实在无法把自己的文章排在第一。
排在第10位的是Sam Curry和他的朋友们,他们公布了一种神奇的、心脏出血式内存安全攻击技术。这个关键但容易被忽视的漏洞几乎肯定会影响其他网站,同时也提醒我们,即使你是一个安全专家,但仍需关注简单和任何意想不到的地方。
在这篇文章中,Abdulrhman Alqabandi使用了一种混合了Web和二进制攻击的方法来惩罚那些使用微软最新Chrome Edge浏览器来访问他的网站的人。
这个漏洞带来了40000美元的赏金,是一个通过多个低级漏洞实现严重攻击效果的完美示例,同时也演示了Web漏洞如何通过提权影响到你的桌面。这也启发了我们去更新Hackability。
想要了解其他浏览器的Web漏洞乱象,请查看Remote Code Execution in Firefox beyond memory corruptions。
这个安全项目的研究者Orange Tsai与Meh Chang是首次出现一起出现在该榜单,他在多个SSL VPN中均发现了无需身份验证的RCE漏洞。
VPN所处的特殊的网络位置意味着其一旦出现漏洞,带来的影响是巨大的。研究中虽然使用的大部分都是经典技术,但也涉及了一些创造性的技巧,我在这里并不打算剧透。这个研究也催生了一波针对SSL VPN的审计,催生了大量的漏洞,包括上周公布的一系列SonicWall漏洞。
现代的网站是由许多依靠secret来识别彼此的服务拼凑而成的。一旦这些信息泄漏,彼此间的信任就会分崩离析。而在持续集成存储库/日志中,secret的泄漏是很常见的,你甚至可以通过自动化脚本找到它们。而EdOverflow等人的这项研究系统地揭示了被忽视的安全案例和潜在的安全研究领域。这也很可能是站点工具SSHGit的灵感来源。
监控新发布的安全研究是我工作的核心部分,但当这篇文章第一次发布时,我还是完美错过了它。幸运的是,社区里有人拥有更敏锐的眼光,提名了它。
Paweł Hałdrzyński展示了鲜为人知的.net框架的旧特征,并表明它可以用来添加任意内容到任意端点上的URL路径中。这甚至引起了我们的一些恐慌。
这让人想起了相对路径覆盖攻击,这是一个有时可用来触发攻击链的奥义。在这篇文章中,它被用于插入XSS,但我们强烈怀疑将来会出现其他更具威胁的利用。
谷歌搜索框可能是这个星球上被测试得最多的输入框,因此Masato Kinugawa和LiveOverflow是如何找从中出XSS漏洞吸引了所有人的目光。
这两个视频提供了关于如何通过阅读文档和模糊测试来发现DOM解析错误的详细介绍,并且还提供了一个难得的机会来了解这一伟大发现背后的创造性。
Orange Tsai展示了在Jenkins中的无需身份验证的RCE,发表了两篇相关文章。身份验证绕过的确不错,但是我们最喜欢的创新是使用元编程来创建一个在编译时执行的后门,这将面对大量的系统环境的约束,我们期待在未来再次看到元编程。
这也是一个很好的深入研究的例子,因为这个漏洞后来被多个研究人员进行了改进。
Ben Sadeghipour和Cody Brocious的这个研究首先概述了现有的SSRF技术,展示了如何将它们应用到服务器端的PDF生成器中,然后再将DNS重新绑定引入其中。
针对PDF生成器的研究既需要深厚的知识又很容易被忽略。我们首次看到服务器端浏览器上的DNS重新绑定出现在2018年的提名名单上,而HTTPRebind的发布应该有助于使这种攻击顺利进行。
最后,我认为这也许能说服Amazon更好地保护其EC2元数据端点。
跨站泄漏已经存在了很长时间,早在十多年前就有记录,并在去年悄悄进入我们的前十名。直到2019年,这种类型的攻击才开始爆发,数量大幅上涨。
很难在这么大的范围内选出贡献者,但我们显然要感谢Eduardo Vela用一种新技术简明地介绍了这个概念,并通过合作努力建立了一个公共的XS-Leak vectors列表,研究人员最终也通过跨站泄漏技术取得了很大的成果。
由于在浏览器XSS过滤器的死亡中扮演了主要角色,跨站泄漏已经对Web安全领域产生了深远的影响。模块化XSS过滤是造成跨站泄漏的主要原因,这与过滤模式中更糟糕的问题相结合,导致Edge和后来的Chrome都放弃了他们的XSS过滤器,这对网络安全研究人员来说是一个胜利,也可能是一个灾难。
在这篇学术白皮书中,Sajjad Arshad等人采用了Omer Gil的网络缓存欺骗技术(早在2017年就在我们的前10名榜单中排名第二),并针对Alexa排名前5000的网站分享了对网络缓存欺骗的整体探索。
出于法律上的原因,大多数对攻击性技术的研究是在专业安全审计期间或在有漏洞程序的网站上进行的,但是通过更谨慎的步骤,这项研究可帮你更广泛地了解全球网络安全的状态。通过精心设计的方法,他们证明了Web缓存欺骗仍然是一种普遍存在的威胁。
除了技术方法,另一个关键的创新是引入了五种新的路径混淆技术,扩大了攻击面。而在记录Web缓存程序的缓存行为方面,它们也比程序本身做得更好。总的来说,这是社区将已有研究转向新方向的一个极好的例子,也是当之无愧的第一名!
今年我们看到了一组特别强劲的提名,很多优秀的研究最终没有进入前十。我建议可以查看完整的提名名单。
年复一年,我们看到了来自他人的伟大研究,所以我们要感谢每一个发表他们研究成果的人,无论他们是否被提名。最后,我们要感谢社会各界的积极参与,没有你们的提名和投票,这一切都是不可能的。
明年再见!