结果出来了!
在通过社区投票将51项提名缩减为15名决赛入围者之后,由NicolasGrégoire,Soroush Dalili,Filedescriptor和我本人组成的专家小组授予,投票并选择了2019年的十大新网络黑客技术。
每年,专业研究人员、经验丰富的测试者、赏金猎人和学者发布大量博客文章、演示文稿、视频和白皮书。 无论他们是建议新的攻击技术,重新混合旧的技术还是记录发现,这些技术中许多都包含可以在其他地方应用的新颖思想。
但是,在如今这些带有标识和营销团队的漏洞不断涌现的时代,创新技术和创意很容易被干扰忽略掉,这仅仅是因为它们的宣传力度不够大。 因此,我们每年都会与社区合作,寻找并奉献十种我们认为经得起时间考验的技术。
我们认为这十项是去年发布的最具创新性的web安全性研究的关键。 每个条目都包含有抱负的研究人员、测试人员、漏洞赏金猎人以及对web安全的最新发展感兴趣的其他人的见解。
社区最爱-HTTP异步攻击
社区投票最多的条目是HTTP Desync Attacks,在该条目中,我恢复了人们长期以来被遗忘的HTTP Request Smuggling技术,以赚取超过9万美元的错误赏金,两次入侵PayPal的登录页面,并为更广泛的社区启动了一系列调查结果。我认为这是迄今为止我最好的研究,但是我做出了战术决策,将其排除在官方的前十名之外,因为我不可能写一篇文章来宣布我自己的研究是最好的。 继续勇往直前...
10. 利用零字节缓冲区溢出获得$ 40,000的收益
在第10位,我们有来自Sam Curry 和他的朋友们的令人心碎的记忆安全利用。这个关键但容易被忽视的漏洞几乎肯定会影响到其他网站,并提醒我们,即使您是专家,仍然有地方可以简单地识别和留意任何意外的情况。
9. Microsoft Edge(Chromium)-潜在的EoP RCE
在这篇文章中,Abdulrhman Alqabandi使用网络和二进制攻击的混合物来伪造任何使用Microsoft新型Chromium-Powered Edge(又名Edgium)访问其网站的人。
现已提供40,000美元的赏金,现在已进行了修补,但这仍然是漏洞利用链的一个很好的例子,该漏洞利用链结合了多个低严重性漏洞以实现关键影响,还很好地演示了如何通过特权来源将web漏洞泄放到您的桌面上。 它启发了我们更新黑客能力,以通过扫描chrome对象来检测它何时位于特权来源上。
要进一步了解chrome浏览器战场中的网络漏洞混乱,请查看Firefox中的远程代码执行,以解决内存损坏问题。
8. 像NSA一样渗透企业内部网:领先的SSL VPN的预认证RCE
现任获胜者Orange Tsai与Meh Chang一起首次亮相,其SSL VPN中存在多个未经身份验证的RCE漏洞。
VPN通常占据的特权、暴露在互联网上的位置意味着,就纯粹的影响力而言,这是它所能得到的最好的东西了。尽管所采用的技术在很大程度上是经典技术,但它们使用了一些创造性的技巧,在这里我不会为您宠坏。 这项研究帮助引发了针对SSL VPN的审核浪潮,从而得出了许多发现,包括上周发布的一系列SonicWall漏洞。
7. 作为漏洞赏金猎人探索CI服务
现代网站是由众多依靠秘密来识别彼此的服务拼凑而成的。 当这些漏洞泄漏时,信任之网就会瓦解。 持续集成存储库/日志中泄露的机密是很常见的事情,而通过自动化找到它们的机率甚至更高。 然而,EdOverflow等人的这项研究系统地为被忽视的案例和潜在的未来研究领域提供了新的思路。 这也很可能是搞笑的站点/工具SSHGit的灵感来源。
6. 都是.NET附带的XSS
监视新颖的研究是我工作的核心部分,但是当这篇文章首次发布时,我仍然设法完全错过了这篇文章。 幸运的是,社区中的有人拥有更敏锐的眼睛并获得提名。
PawełHałdrzyński继承了.NET框架的鲜为人知的旧功能,并演示了如何使用它来向任意端点上的URL路径添加任意内容,当我们意识到甚至我们自己的网站都支持它时,我们感到有些恐慌。
让人联想到“相对路径覆盖”攻击,这是一条奥秘,有时可能会启动漏洞利用链。 在帖子中,它已用于XSS,但我们强烈怀疑将来还会出现其他滥用情况。
5. Google搜索XSS
Google搜索框可能是地球上最受测试的输入,因此Masato Kinugawa如何对XSS进行管理是无法理解的,直到他通过与同事LiveOverflow的协作揭示了所有内容。
这两段视频对如何通过阅读文档和模糊测试找到DOM解析错误提供了扎实的介绍,并且还罕见地介绍了这一宏伟漏洞利用背后的创造力。
4. 对未经身份验证的RCE滥用元编程
Orange Tsai在Jenkins返回了具有预认证的RCE,并在两篇文章中进行了介绍。 身份验证旁路是很好的方法,但是我们最喜欢的创新是使用元编程来创建后门,该后门在面对众多环境约束的情况下在编译时执行。 我们希望将来再次看到元编程。
这也是继续研究的一个很好的例子,因为后来该漏洞利用被多个研究人员改进。
3. 通过服务器端请求伪造拥有影响力
Ben Sadeghipour和Cody Brocious的本次演讲首先概述了现有的SSRF技术,展示了如何将其改编并应用于服务器端PDF生成器,然后将DNS重新绑定引入组合中以取得良好效果。
针对PDF生成器的工作是对功能类的深刻见解,而这些功能类太容易被忽略了。 我们首先看到服务器端浏览器上的DNS重新绑定出现在2018年提名列表中,并且HTTPRebind的发布应有助于使此攻击比以往更易于访问。
最后,我可能在这一点上是错的,但我怀疑这次演示在最终说服Amazon考虑保护其EC2元数据端点方面值得肯定
2. 跨站泄漏
跨站泄漏已经很长时间了。 最早在10年前就被记录下来,并在去年跻身我们的前十名,直到2019年,人们才开始意识到这种攻击类别及其庞大的疯狂变种形式。
在如此大的范围内分配荣誉是很困难的,但我们显然要感谢Eduardo Vela用一种新技术对概念的简明介绍,合作建立已知XS-Leak 向量的公共列表,以及研究人员应用XS-Leak技术取得巨大效果。
XS-Leaks已经对web安全领域产生了持久影响,因为它们在浏览器XSS过滤器的消失中发挥了重要作用。 块模式XSS过滤是XS-Leak向量的主要来源,这与更糟糕的过滤模式问题相结合,以说服Edge和后来的Chrome放弃过滤器,这是网络安全的胜利,也是网络安全研究人员的灾难。
1. 缓存和困惑:自然环境下的Web缓存欺骗
在此学术白皮书中,Sajjad Arshad等人采用了Omer Gil的Web缓存欺骗技术(该技术在2017年我们的前10名中排名第二),并在Alexa Top 5000网站上共享了对Web缓存欺骗漏洞的系统研究。
出于法律原因,大多数攻击性安全研究是在专业审计过程中或在有漏洞赏金计划的网站上进行的,但是通过认真的道德操守,这项研究可以使您更广泛地了解网络的安全状态。 借助精心设计的方法(可以轻松地适用于其他技术),他们证明了Web缓存欺骗仍然是普遍存在的威胁。
除了方法论外,另一个关键创新是引入了五种新颖的路径混淆技术,这些技术扩大了易受攻击的网站的数量。 与许多提供程序本身相比,它们在记录web缓存提供程序的缓存行为方面也做得更好。 总体而言,这是社区将现有研究朝着新方向发展的极好例子,理所应当的第一!
结论
今年,我们获得了一系列特别提名,因此许多出色的研究没有进入前十名。因此,我建议查看完整的提名名单。 对于那些有兴趣在2020年研究发布后立即获得访问权的人,我们最近创建了r / websecurityresearch subreddit和@PortSwiggerRes Twitter帐户,以促进著名的研究。 您还可以在此处找到过去一年的前10名列表:
2018, 2017, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006.
年复一年,我们看到伟大的研究源于其他人的想法,因此,我们要感谢所有花时间发布其发现的人,无论是否提名。 最后,我们要感谢广大社区的热心参与。 没有您的提名和投票,这是不可能的。
直到明年!