2017年十大Web黑客技术榜单

2018 年 10 月 22 日 FreeBuf

近期,由安全公司 Portswigger 发起的“2017年十大Web黑客技术”评选结果出炉了!经过一开始初选的37个技术议题提名,到后来白帽社区投票的15个入围技术议题,最后,经专家评审委员会评选,又甄选出了最终的 TOP 10 榜单!(PS:经评委会提请,其中包含了一个2016年的技术议题)

需要说明的是,专家评审委员会包括了 Portswigger 技术总监 James Kettle、资深 Web 安全研究者 Gareth Heyes 和 Nicolas Grégoire、顶尖 Web 漏洞挖掘白帽 Frans Rosén 以及 NCCGroup 技术顾问 Soroush Dalili。

此次评选活动的目的在于,在安全社区中宣传这些技术,让行业提高对安全的重视,同时也能让这些技术能受到认可和铭记。因此,基于创新性、传播性、影响力以及持久性的综合考虑,我们在15个入围议题中进行了优中选优,评选出了最终 Top 10 结果,这其中,我们评审委员会一致认为前三名的议题非常值得大家拜读。

为了排除利益冲突,我们采取了广泛的社区投票方式,并且评审小组专家不得投票给自身参与的研究议题,最终评选结果如下(关于每项技术的详细介绍,请“阅读原文”跳转链接查看)

1. 台湾 Web 安全研究者 Orange Tsai - A New Era of SSRF

Orange Tsai 在该议题中绕过 SSRF 防御的创造性研究,揭开了 SSRF 漏洞利用艺术的冰山一角。这种技术最大限度发挥了隐患影响,被熟悉 SSRF 的安全专家 Agarri 描述为“极具影响力和创新性”的漏洞利用,非常值得反复体会。

其中涉及了多个漏洞的串连使用,可能算是目前最好的 Web 漏洞利用链构造了,所以该议题是实至名归的第一名。

2. Web 缓存欺骗攻击技术 - Web Cache Deception

用恶意内容毒化 Web 缓存的技术已经流行多年,但 Omer Gil 却创新地颠覆了该技术的利用方式,他通过控制 Web 缓存可以保存其它用户的敏感数据,并成功在 Paypal 中实现了攻击复现。从 Omer Gil 的演讲和报告中可以看到,Web 缓存欺骗是一项厉害且有想像力的技术,这种技术可以在多种主要的缓存机制中利用实现,为未来的深入研究提供了一个很好的基础平台。

随着应用程序安全性的不断成熟,寻找真正的新技术变得越来越难,所以在不断的演化过程中,能看到这种可证实的安全隐患,非常令人耳目一新。

3. 票据欺骗 - Ticket Trick

利用企业的问题跟踪系统( issue tracker)和支持帮助中心(support center/helpdesk),结合以公司域名为后缀的构造邮箱地址,优秀的 Web 漏洞挖掘大牛 Inti De Ceukelaire 能绕过验证机制,成功入侵目标企业网络。这是一个关于安全的一个典型例子,一些独立系统在隔离情况下确实能够保证安全,但各个系统之间进行综合应用,就会发生崩溃或漏洞,这也会是未来几年将会陆续出现的安全问题。

4. Friday the 13th: JSON Attacks

继2016年的 Java 反序列化灾难之后,HPE 安全研究者 Alvaro munioz & oleksand Mirosh 对 Java 和 .NET 的大量 JSON 序列化库进行了全面分析,为相关的 RCE 漏洞安全研究提供了可参考的内容。

5. 云出血 - Cloudbleed

谷歌安全研究者 Tavis Ormandy 违背了通常的研究规律,偶然地发现了这一不同寻常的漏洞隐患。该隐患技术中,一开始受影响的厂商只有 Cloudflare 一家,但却造成了 CloudFlare 客户如 Uber、OK Cupid、Fitbit 等互联网公司的用户密钥和敏感信息泄露,影响巨大,让人记忆犹新。除了 Tavis Ormandy 的技术分析报告之外,Cloudflare 的 事后分析声明也值得阅读,正如 Taviso 警告的那样,它“严重低估了对客户造成的影响风险”。

6. 高级 Flash 漏洞利用系列 - Advanced Flash Vulnerabilities

这是由 Opnsec 研究员 Enguerran Gillier 发现并在 YouTube 上演示的一系列 Flash 漏洞利用技术,Enguerran 将许多通常被忽视的技术进行了艺术性地结合利用,并详细地解释在其博客文章中。

7. AWS S3 存储桶的访问控制分析 - A deep dive into AWS S3 access controls

顶尖 Web 白帽 Frans Rosén 从攻防角度对 AWS 的 S3 存储桶内部机制进行了分析研究,研究中发现了 S3 存储桶的一些常见缺陷,以及像 ‘AuthenticatedUsers’ 的类似编程错误。美国无线通信公司 Verizon 的大规模数据泄露事件中,攻击者利用的就是 S3 存储桶的访问控制缺陷实施攻击的。

8. 利用 HTTP 请求编码绕过 WAF - Request Encoding to bypass web application firewalls

NCCGroup 技术研究员 Soroush Dalili 通过构造编码和恶意 HTTP 请求对 WAF 开展了大量有效的绕过试验,我们可以从其发表的博客和报告中来一睹究竟。

9. 浏览器安全白皮书 - Cure53 - Browser Security Whitepaper

Cure53 的研究员通过深入分析,对 IE、Edge 和 Chrome 浏览器的安全机制进行了全方位总结和介绍,其中第3和第5章节中涉及了一些精彩的 web 安全知识。

10. 利用 PHP7 的 OPcache 执行 PHP 代码 - Binary Webshell Through OPcache in PHP 7

在2016年,加拿大拉瓦尔大学学生 Ian Bouchard 发现了一种新技术,可以在运行有 PHP7 的系统中,利用文件写入漏洞绕过安全机制并成功实现 RCE 漏洞。

其它议题

其它未当选的入围议题也值得提及,尤其是 X41 Browser Security whitepaper 也是一个干货,但在 web 研究方面稍微还欠缺一些东西。$10k host header 非常让人眼前一亮,但相对于新的研究来说,它更偏向于对已知漏洞的综合利用。 Hiding Wookies in HTTP 也很不错,但很遗憾,在提名阶段它就没被社区投票入选。而 Dont Trust The DOM 在入围阶段得分很高,但却没挺过最终的评审投票。

今年的评选活动带点实验性质,但也进展顺利,我们会对评选流程进行多种调整和改进。在明年,我们会开发一个定制化的投票平台,消除一些可疑投票情况,更加便利公平地实现评选。

*参考来源:portswigger,clouds编译,转载请注明来自FreeBuf.COM

登录查看更多
0

相关内容

【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
Python计算导论,560页pdf,Introduction to Computing Using Python
专知会员服务
72+阅读 · 2020年5月5日
【微众银行】联邦学习白皮书_v2.0,48页pdf,
专知会员服务
165+阅读 · 2020年4月26日
德勤:2020技术趋势报告,120页pdf
专知会员服务
190+阅读 · 2020年3月31日
【2020新书】数据科学:十大Python项目,247页pdf
专知会员服务
212+阅读 · 2020年2月21日
分享8个强大的黑客技术学习网站
黑客技术与网络安全
88+阅读 · 2019年8月29日
34个最优秀好用的Python开源框架
专知
9+阅读 · 2019年3月1日
盘点2018年计算机视觉领域技术突破
专知
5+阅读 · 2019年1月4日
人工智能的阴暗面
计算机与网络安全
6+阅读 · 2018年1月8日
2017年十大最受欢迎机器学习Python库
全球人工智能
3+阅读 · 2017年12月29日
2017年度图灵最受欢迎算法图书TOP10
图灵教育
10+阅读 · 2017年12月27日
Python NLP入门教程
计算机与网络安全
9+阅读 · 2017年11月21日
Arxiv
4+阅读 · 2019年12月2日
Mobile big data analysis with machine learning
Arxiv
6+阅读 · 2018年8月2日
Arxiv
6+阅读 · 2018年7月12日
Arxiv
7+阅读 · 2018年1月30日
VIP会员
相关VIP内容
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
Python计算导论,560页pdf,Introduction to Computing Using Python
专知会员服务
72+阅读 · 2020年5月5日
【微众银行】联邦学习白皮书_v2.0,48页pdf,
专知会员服务
165+阅读 · 2020年4月26日
德勤:2020技术趋势报告,120页pdf
专知会员服务
190+阅读 · 2020年3月31日
【2020新书】数据科学:十大Python项目,247页pdf
专知会员服务
212+阅读 · 2020年2月21日
相关资讯
分享8个强大的黑客技术学习网站
黑客技术与网络安全
88+阅读 · 2019年8月29日
34个最优秀好用的Python开源框架
专知
9+阅读 · 2019年3月1日
盘点2018年计算机视觉领域技术突破
专知
5+阅读 · 2019年1月4日
人工智能的阴暗面
计算机与网络安全
6+阅读 · 2018年1月8日
2017年十大最受欢迎机器学习Python库
全球人工智能
3+阅读 · 2017年12月29日
2017年度图灵最受欢迎算法图书TOP10
图灵教育
10+阅读 · 2017年12月27日
Python NLP入门教程
计算机与网络安全
9+阅读 · 2017年11月21日
Top
微信扫码咨询专知VIP会员