这让人想起“相对路径覆盖”攻击(https://portswigger.net/research/detecting-and-exploiting-path-relative-stylesheet-import-prssi-vulnerabilities),这是一个有时会触发攻击链的手段 。在这篇文章中,它被用于XSS,但我们强烈怀疑它将来会出现其他滥用 。
TOP5.google 搜索XSSGoogle搜索框可能是这个星球上最受考验的输入框,所以Masato Kinugawa是如何做到在里面进行XSS的 。我无法理解,直到他通过与同事LiveOverflow的合作透露了这一切 。
这个视频(https://www.youtube.com/watch?v=lG7U3fuNw3A)提供了一些关于如何通过阅读文档和模糊化来发现DOM解析错误的可靠介绍,同时也罕见地展示了这一伟大漏洞利用背后的创造力 。
TOP4.针对未经验证的RCE滥用元编程Orange Tsai,在Jenkins返回了具有预先授权的RCE,并在两个文章中进行了介绍 。(博客:https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.html)我们认为它在绕过身份验证漏洞里是最好的,但我们最喜欢的创新点是面对众多的环境约束下使用了元编程来创建一个后门,在编译时执行 。我们期待着在未来再次看到元编程 。
这也是一个很好的可以继续研究的例子,因为这项研究后来得到了多个研究人员的改进 。
TOP3.通过服务器端请求伪造来拥有权限Ben Sadeghipour和Cody Brocious的这篇演讲(视频地址:https://www.youtube.com/watch?v=o-tL9ULF0KI)首先概述了现有的SSRF技术,展示了如何将它们应用到服务器端的PDF生成器中,然后将DNS重新绑定引入到组合中以获得良好的效果 。
针对PDF生成器的工作是一个非常容易被忽略的特性类的深入研究点 。我们第一次看到服务器端浏览器上的DNS重新绑定是在2018年的提名名单上,httprbind的发布应该有助于使这种攻击比以往任何时候都更容易受到攻击 。
【2019年十大web黑客技术榜单】最后,这个演示是非常值得赞扬的,因为它最终说服了Amazon考虑保护EC2元数据端点 。
TOP2.跨站点泄漏跨站点泄漏已经持续了很长时间 。十多年前首次被记录在案,并于去年进入我们的前十名,直到2019年,人们才意识到这一攻击级别及其数量惊人的变化 。
很难以这样的规模来分摊信誉,但我们显然要感谢Eduardo Vela用一种简洁的方式介绍了这一概念,为建立已知XS-LEAK向量(https://github.com/xsleaks/xsleaks/wiki/Browser-Side-Channels)的公开列表所做的协作努力,以及帮助研究人员将XS泄漏技术应用到实战中并产生了很大的效果 。
XS泄漏已经对web安全环境产生了持久的影响,因为它们在浏览器XSS过滤器的消失中扮演了重要角色 。“Block”模式的XSS过滤是XS-LEAK向量的一个主要来源,这与过滤模式的更糟问题相结合,说服了Edge和后来的Chrome放弃它们的过滤器,这是web安全的胜利,也是web安全研究人员的灾难 。
TOP1.缓存与困惑:野生网络缓存欺骗在这篇学术白皮书中(https://sajjadium.github.io/files/usenixsec2020wcd_paper.pdf),Sajjad Arshad等人采用了Omer Gil的网络缓存欺骗技术(在2017年我们的前10名网站中首次出现在#2),并在Alexa的前5000家网站上系统地探索了网络缓存欺骗漏洞 。
出于法律原因,大多数攻击性的安全研究都是在专业审计期间进行的,或者是在有bug悬赏计划的网站上进行的,但是通过谨慎的道德操守,这项研究提供了一个更广泛的网络安全状态 。借助一种精心设计的方法,这种方法可以很容易地适应其他技术,他们证明了Web缓存欺骗仍然是一种普遍存在的威胁 。
除了方法论之外,另一个关键的创新是引入了五种新的路径混淆技术,从而扩大了易受攻击网站的数量 。它们在记录web缓存提供程序的缓存行为方面也比许多提供程序本身做得更好 。总的来说,这是一个极好的例子,这是社区将旧技术朝着新方向创新的非常好的一个例子,它是当之无愧的第一!
总结今年我们看到了一组特别强的提名,所以很多优秀的研究没有进入前十名 。因此,我建议查看完整的提名名单(https://portswigger.net/research/top-10-web-hacking-techniques-of-2019-nominations-open) 。对于那些有兴趣在2020年研究报告发布后立即访问它的人,我们最近创建了web安全研究(https://www.reddit.com/r/websecurityresearch/ )两个Twitter帐户,以促进值得注意的研究 。你还可以在这里找到前几年的榜单:
2018年
https://portswigger.net/research/top-10-web-hacking-techniques-of-2018
2017年
https://portswigger.net/research/top-10-web-hacking-techniques-of-2017
2015年
https://www.whitehatsec.com/blog/top-10-web-hacking-techniques-of-2015/
推荐阅读
- web渗透测试——数据库攻击技巧整理
- ws+socket.io 精读Websocket原理大全需知,以及具体使用
- 湖北历史悠久十大名茶,探究产于福建的十大名茶
- 世界上最毒的水母十大排名 世界上最毒的水母到底是什么
- 喝茶的十大禁忌,喝茅山青峰茶的禁忌
- 中国十大养老宜居城市是什么?
- 开发Web应用为什么要用TypeScript?
- 一文让你了解微前端的现状
- 亚马逊雨林十大恐怖动物 亚马逊热带雨林的动物有哪些
- 古代四大僵尸始祖 上古十大僵尸始祖