欢迎来到 2021 年十大(新)网络黑客技术,这是PortSwigger年度社区支持的最新迭代,目标是确定去年发布的最重要的网络安全研究。
倒序如下:
10 - 通过嵌套解析器对 XSS 进行模糊测试
对于像 XSS 这样的古老话题,很容易认为你已经知道这一切,并且轻率地驳回新的研究。像通过嵌套解析器进行 XSS 模糊测试这样的宝石证明了这是多么危险。在这篇无懈可击的帖子中,Psych0tr1a展示了如何将堆叠的 HTML 清理规则与镜面反射结果相互对抗。
9 - 通过更高的HTTP版本进行HTTP偷渡
在 2021 年初,HTTP/2 被认为在很大程度上没有除了定时攻击和次要 DoS 问题之外的安全问题。Emil Lerner的HTTP Smuggling via Higher HTTP Versions打破了这个神话,使用定制工具和创新技术揭示了 HTTP/2 到 HTTP/1.1 转换中的许多漏洞。
8 - 实用的 HTTP 标头偷渡
漏洞可能很普遍、易于理解且影响很大,但如果没有人知道如何检测它,可能会很想……将注意力重新集中在更有利可图的事情上。CL.CL 请求走私已经在这个领域悄悄潜伏了很长一段时间。
在Practical HTTP Header Smuggling中,Daniel Thatcher分离了 HTTP Request Smuggling 的核心组件,并将其巧妙地重新组合成一种策略,可以识别 CL.CL 漏洞和通用隐藏头攻击,所有这些都集成到Param Miner中。
7 - JSON 互操作性漏洞
长期以来,JSON 以有点古怪而闻名,但在很大程度上避开了影响 XML 解析的攻击。然而,不管是什么格式,如果你要解析两次,事情就会出错。
Jake Miller的JSON 互操作性漏洞深入研究了如何触发 JSON 解析器不一致,以及这些通常无害的怪癖可以在哪里被利用。捆绑的基于 Docker 的实验室使这些易于复制和实践。
6 - 大规模缓存中毒
案例研究成就或破坏研究,大规模缓存中毒使他们成群结队。Youstin证明了网络缓存中毒仍然是地方性的,并且仍然被广泛忽视。DoS 漏洞经常被研究人员唾弃,但许多公司显然都认真对待 Web 缓存中毒所提供的持续的、单一请求的删除。这也是将微小的不一致与秘密标头和错误配置链接起来以制造严重漏洞的艺术的有力证明。
5 - 隐藏的 OAuth 攻击媒介
黑客通常专注于直接可见或在侦察期间发现的端点。在隐藏的 OAuth 攻击向量中,我们自己的Michael Stepankin采用了另一种方法,并深入研究了 OAuth 和OpenID规范,以发现隐藏的端点和设计缺陷,这些缺陷为枚举、会话中毒和[url=https://portswigger.net/web-security/ssrf]SSRF[/url]奠定了基础。Michael 还更新了 ActiveScan++ 和 Burp 的发现词表,以保持自动监视并确保此攻击面不会被忽视。
4 - 在野外利用客户端原型污染
文件描述符将其描述为“可以说是一个失败的错误类别,因为它只是偶尔被利用”,Prototype Pollution 严格来说是发烧友的一种技术,直到一个让互联网无污染的故事——在野外利用客户端原型污染登陆。
3 - MS Exchange 上的新攻击面
Orange Tsai连续第 5 年重返前 10 名,其由 3 部分组成的系列A New Attack Surface on MS Exchange。虽然大多数研究侧重于发现众多网站中常见的漏洞类别,但这项工作却惊人地深入研究了一个目标,并带来了灾难性的结果。
2 - HTTP/2:后遗症总是更糟糕
九个月的制作过程中,我自己的HTTP/2: The Sequel is Always Worse与 Emil 的上述工作发生了话题冲突,这使得这比原本应该的更“有趣”,但最后一刻的一些突破挽救了这一天。
1 - 依赖混淆
一些最好的研究有一种优雅的简单性,使它在事后看起来很明显。在《依赖性混淆》中,Alex Birsan揭露了影响主要软件包管理器的关键设计和配置缺陷,利用软件包名称的模糊性来实现对许多大公司的RCE,并获得了超过10万美元的赏金。除了疯狂的影响之外,它的解释也特别好,带领读者经历了整个研究历程。
对这一攻击的讨论和缓解措施仍在进行中,我们真的很想知道这一研究途径的下一步发展。这个攻击是如此优雅,不能被改进吗?或者这只是一个持久的新攻击类别的卑微的开始?我们知道的是,如果你今年只想读一篇研究报告,你应该把它定为 "依赖性混淆"。祝贺亚历克斯获得当之无愧的胜利!