欢迎来到 2022年10大网络黑客技术,这是我们年度社区支持工作的第 16 版,旨在确定去年发表的最重要和最具创新性的网络安全研究。
原文链接:https://portswigger.net/research/top-10-web-hacking-techniques-of-2022
自 46 月份发布提名征集以来,您已经提交了创纪录的 15 项提名,并投票选出了 15 名最后一轮候选人。在过去的两周里,一个由研究人员尼古拉斯·格雷瓜尔、索鲁什·达利利、Filedescriptor 和我组成的专家小组对 10 名决赛入围者进行了分析、授予和投票,为您带来了 2022 年最终的 10 大新网络黑客技术。像往常一样,我们没有排除我们自己的研究,但小组成员不能投票支持他们所属的任何东西。
今年,连续第三年,质量提名的数量有了明显的改善。虽然彻底的新技术和课堂休息变得越来越少,但比以往任何时候都有更多的人突破界限并分享他们的发现。很高兴看到研究生态系统蓬勃发展,即使它使选择前十名变得更加困难!
在我们开始倒计时之前,我应该指出,任何将一年的研究压缩到前十名名单中的尝试都会忽视有价值的技术。如果你渴望知识,我强烈建议你阅读整个提名名单。
在最后的十个主题中,有两个关键主题脱颖而出 – 单点登录和请求走私。让我们仔细看看!
10 – 利用 Web3 的隐藏攻击面:Netlify Next.js 库上的通用 XSS
随着我们找到将越来越复杂的方法塞进我们的软件中,即使是看起来静态的网站也可以隐藏严重的漏洞。在利用 Web3 的隐藏攻击面中,Sam Curry 和 Shubham Shah 用来自 Netlify Next.js 库的 XSS、SSRF 和缓存中毒的混合体撕毁了许多加密货币网站。我们渴望看到该方法和加密货币生态系统的见解是否会推动该领域的进一步发现。
9 – 实用的客户端路径遍历攻击
有时,漏洞类别可能非常明显,但由于表观严重性较低,多年来一直被忽视。
在实际客户端路径遍历攻击中,Medi 探讨了一种非常常见的网站行为 – 将用户输入放在请求路径中 – 并演示了通往真正影响的清晰途径。多年来,这种行为已经在漏洞利用链中出现了几次,但这篇文章表明,是时候认识到它本身就是一个漏洞了。客户端参数污染的这个表亲已经激发了将其用于CSRF的后续研究,我们相信还会有更多。
8 – Java 的心灵签名
Neil Madden 在 Java 中醒目的 Psychic Signatures 展示了一种关键且非常简单的攻击,使用数字 0 来伪造 ECDSA 签名,破坏了包括 JWT 和 SAML 在内的众多核心 Web 技术的加密基础。
这种使用古老的加密攻击来推翻现代网络技术是一个很好的提醒,你并不总是需要复杂的攻击来实现巨大的影响 – 尽管抽象很好,但有时值得进一步研究堆栈。
7 – 所有 Akamai 边缘节点上的全球服务器端缓存中毒
早在 2019 年,前 10 名的提名之一是一篇关于 HTTP 逐跳标头的利用潜力的文章,并呼吁对该主题进行进一步研究。三年后,所有 Akamai 边缘节点上的全球服务器端缓存中毒利用这一概念产生了巨大的影响和大量的漏洞赏金,将该技术确立为 Web 黑客和服务器实施者的基本知识。
我们也赞赏Jacopo Tediosi如何为使用先进技术的人们在尝试对他们的漏洞赏金报告进行分类时可能遇到的痛苦世界提供一些罕见的曙光。
6 – 通过响应队列中毒使 HTTP 标头注入变得关键
有没有想过为什么人们有时会注入一个HTTP响应标头,但随后将其称为“响应拆分”,即使他们从未真正拆分响应?在通过响应队列中毒使 HTTP 标头注入变得关键中,我通过一个高影响力、高支出的案例研究探索了长期被遗忘的响应拆分技术。
正如 filedescriptor 所指出的,“代理之间似乎有无限数量的异常,为您带来无限数量的请求走私技术”……稍后会详细介绍。
5 – 绕过 .NET 序列化绑定器
在 2020 年,.NET 序列化绑定程序文档将语句“序列化绑定器也可用于安全性”更改为“序列化绑定器不能用于安全性”。
从这个简单的预告片中,Markus Wulftange的Bypassing .NET Serialization Binders深入研究了原因,最终为DevExpress和Microsoft Exchange构建了漏洞作为案例研究。这项研究引用了大量的文档和相关研究,使其成为进入 .NET 序列化内部的绝佳门户。
像这样的高质量研究通常会激发行动,事实证明,Soroush已经以此为基础,并将结果整合到 YSoSerial.Net 中。您会想知道自上次阅读以来,安全关键文档发生了哪些更改。
4 – 使用 SAML 入侵云
就像OAuth一样,如果不讨论SAML,就无法讨论SSO。虽然一些SAML漏洞都非常有名,但Felix Wilhelm的Hacking the Cloud展示了SAML的攻击面是多么可怕。这最终导致一个 XML 文档在 Java 尝试验证其签名时使用整数截断错误来触发任意字节码执行。
这是必看的研究。演示文稿录制使该主题特别易于访问,并提供了有价值的上下文,但如果您已经熟悉 SAML 利用,您可能会通过幻灯片或精简文章。
3 – Zimbra电子邮件 – 通过Memcache注入窃取明文凭据
应用层缓存被广泛使用,但很少被利用。在Zimbra Email – Stealing Clear-Text Credentials by Memcache注入中,Simon Scannell通过触发响应队列中毒的memcache等效物,将这个罕见的错误类提升到一个看不见的水平,导致协议级别的混乱。
这项创新研究极好地展示了深入了解目标可以实现的目标。我们将在未来密切关注服务器端缓存注入和备用协议不同步攻击。
2 – 浏览器驱动的不同步攻击:HTTP 请求走私的新前沿
在浏览器驱动的不同步攻击中,我探索了HTTP请求走私的新载体,破坏了从亚马逊到Apache的目标,并最终将攻击客户端带入受害者的浏览器。
我发现这项研究在技术上极具挑战性,但值得庆幸的是,网络安全学院团队能够提供实验室来帮助读者练习,而且我们已经看到人们在野外使用该技术取得了成功。该小组有很多好话要说,包括“从不同步蠕虫(对XSS蠕虫的回忆)到客户端不同步的创造力超出了图表”“新概念,众多用例,像往常一样令人印象深刻”“也为观众/读者提供了探索的东西”。
请求走私已经证明自己是连续几年不可阻挡的新威胁来源,并且有很多未开发的途径,这种情况可能会持续到HTTP / 1完全消除,我想这需要一段时间。
1 – 在登录 OAuth 流中使用脏舞劫持帐户
OAuth 已成为现代 SSO 的基础,从那以后,对它的攻击一直是黑客的主要攻击方式。最近,浏览器引入了引荐来源链接剥离缓解措施,这阻碍了最流行的技术之一 – 至少我们认为是这样。在登录OAuth流中使用脏舞的帐户劫持中,Frans Rosen表明现代Web堆栈提供了充足的替代方案。
这项必读的研究提供了一个大师班,将OAuth怪癖与低影响的URL泄漏小工具(包括滥交的postMessages,第三方XSS和URL存储)联系起来。其中许多错误以前会因为没有重大的安全影响而被驳回,因此它们已经扩散了数年。
这些攻击的巨大潜力迅速激发了我们尝试启用自动 URL 泄漏检测,我们还在探索将这些技术集成到 OAuth Academy 主题的实验室中,以帮助社区获得应用它们的实践经验。
这是一项杰出的研究,我们预计在未来几年内将取得成果。恭喜弗兰斯当之无愧的胜利!
结论
2022 年,社区发表的优秀研究比以往任何时候都多,导致广泛的投票传播,以及对前 10 名名额的激烈竞争。将 40+ 项提名浓缩到前 10 名名单中对 30 名亚军来说不可避免地不公平,因此我们建议爱好者阅读整个提名名单。另外,如果您自己的最爱没有成功,请随时发推文让我们知道!
进入前 10 名的部分原因是它的预期寿命,因此也值得赶上去年的前 10 名。如果您有兴趣预览 2023 年可能获胜的内容,您可以订阅 @PortSwiggerRes、r/websecurityresearch 和 @portswiggerres@infosec.exchange。
如果你有兴趣自己做这种研究,我分享了我多年来在搜寻规避漏洞中学到的一些经验教训,所以你想成为一名网络安全研究人员吗?另外,如果你已经在做这种工作,我还应该提到我们正在寻求聘请另一位研究人员。
再次感谢所有参与的人!没有你的提名、投票和最重要的研究,这是不可能的。
直到下次!