歡迎光臨
每天分享高質量文章

2017年十大Web駭客技術榜單

來自:FreeBuf.COM

*參考來源:portswigger,clouds編譯

近期,由安全公司 Portswigger 發起的“2017年十大Web駭客技術”評選結果出爐了!經過一開始初選的37個技術議題提名,到後來白帽社群投票的15個入圍技術議題,最後,經專家評審委員會評選,又甄選出了最終的 TOP 10 榜單!(PS:經評委會提請,其中包含了一個2016年的技術議題)

需要說明的是,專家評審委員會包括了 Portswigger 技術總監 James Kettle、資深 Web 安全研究者 Gareth Heyes 和 Nicolas Grégoire、頂尖 Web 漏洞挖掘白帽 Frans Rosén 以及 NCCGroup 技術顧問 Soroush Dalili。

此次評選活動的目的在於,在安全社群中宣傳這些技術,讓行業提高對安全的重視,同時也能讓這些技術能受到認可和銘記。因此,基於創新性、傳播性、影響力以及永續性的綜合考慮,我們在15個入圍議題中進行了優中選優,評選出了最終 Top 10 結果,這其中,我們評審委員會一致認為前三名的議題非常值得大家拜讀。

為了排除利益衝突,我們採取了廣泛的社群投票方式,並且評審小組專家不得投票給自身參與的研究議題,最終評選結果如下(關於每項技術的詳細介紹,請“閱讀原文”跳轉連結檢視)

1. 臺灣 Web 安全研究者 Orange Tsai – A New Era of SSRF

Orange Tsai 在該議題中繞過 SSRF 防禦的創造性研究,揭開了 SSRF 漏洞利用藝術的冰山一角。這種技術最大限度發揮了隱患影響,被熟悉 SSRF 的安全專家 Agarri 描述為“極具影響力和創新性”的漏洞利用,非常值得反覆體會。

其中涉及了多個漏洞的串連使用,可能算是目前最好的 Web 漏洞利用鏈構造了,所以該議題是實至名歸的第一名。

2. Web 快取欺騙攻擊技術 – Web Cache Deception

用惡意內容毒化 Web 快取的技術已經流行多年,但 Omer Gil 卻創新地顛覆了該技術的利用方式,他透過控制 Web 快取可以儲存其它使用者的敏感資料,併成功在 Paypal 中實現了攻擊復現。從 Omer Gil 的演講和報告中可以看到,Web 快取欺騙是一項厲害且有想像力的技術,這種技術可以在多種主要的快取機制中利用實現,為未來的深入研究提供了一個很好的基礎平臺。

隨著應用程式安全性的不斷成熟,尋找真正的新技術變得越來越難,所以在不斷的演化過程中,能看到這種可證實的安全隱患,非常令人耳目一新。

3. 票據欺騙 – Ticket Trick

利用企業的問題跟蹤系統( issue tracker)和支援幫助中心(support center/helpdesk),結合以公司域名為字尾的構造郵箱地址,優秀的 Web 漏洞挖掘大牛 Inti De Ceukelaire 能繞過驗證機制,成功入侵標的企業網路。這是一個關於安全的一個典型例子,一些獨立系統在隔離情況下確實能夠保證安全,但各個系統之間進行綜合應用,就會發生崩潰或漏洞,這也會是未來幾年將會陸續出現的安全問題。

4. Friday the 13th: JSON Attacks

繼2016年的 Java 反序列化災難之後,HPE 安全研究者 Alvaro munioz & oleksand Mirosh 對 Java 和 .NET 的大量 JSON 序列化庫進行了全面分析,為相關的 RCE 漏洞安全研究提供了可參考的內容。

5. 雲出血 – Cloudbleed

谷歌安全研究者 Tavis Ormandy 違背了通常的研究規律,偶然地發現了這一不同尋常的漏洞隱患。該隱患技術中,一開始受影響的廠商只有 Cloudflare 一家,但卻造成了 CloudFlare 客戶如 Uber、OK Cupid、Fitbit 等網際網路公司的使用者金鑰和敏感資訊洩露,影響巨大,讓人記憶猶新。除了 Tavis Ormandy 的技術分析報告之外,Cloudflare 的 事後分析宣告也值得閱讀,正如 Taviso 警告的那樣,它“嚴重低估了對客戶造成的影響風險”。

6. 高階 Flash 漏洞利用系列 – Advanced Flash Vulnerabilities

這是由 Opnsec 研究員 Enguerran Gillier 發現併在 YouTube 上演示的一系列 Flash 漏洞利用技術,Enguerran 將許多通常被忽視的技術進行了藝術性地結合利用,並詳細地解釋在其部落格文章中。

7. AWS S3 儲存桶的訪問控制分析 – A deep dive into AWS S3 access controls

頂尖 Web 白帽 Frans Rosén 從攻防角度對 AWS 的 S3 儲存桶內部機制進行了分析研究,研究中發現了 S3 儲存桶的一些常見缺陷,以及像 ‘AuthenticatedUsers’ 的類似程式設計錯誤。美國無線通訊公司 Verizon 的大規模資料洩露事件中,攻擊者利用的就是 S3 儲存桶的訪問控制缺陷實施攻擊的。

8. 利用 HTTP 請求編碼繞過 WAF – Request Encoding to bypass web application firewalls

NCCGroup 技術研究員 Soroush Dalili 透過構造編碼和惡意 HTTP 請求對 WAF 開展了大量有效的繞過試驗,我們可以從其發表的部落格和報告中來一睹究竟。

9. 瀏覽器安全白皮書 – Cure53 – Browser Security Whitepaper

Cure53 的研究員透過深入分析,對 IE、Edge 和 Chrome 瀏覽器的安全機制進行了全方位總結和介紹,其中第3和第5章節中涉及了一些精彩的 web 安全知識。

10. 利用 PHP7 的 OPcache 執行 PHP 程式碼 – Binary Webshell Through OPcache in PHP 7

在2016年,加拿大拉瓦爾大學學生 Ian Bouchard 發現了一種新技術,可以在執行有 PHP7 的系統中,利用檔案寫入漏洞繞過安全機制併成功實現 RCE 漏洞。

其它議題

其它未當選的入圍議題也值得提及,尤其是 X41 Browser Security whitepaper 也是一個乾貨,但在 web 研究方面稍微還欠缺一些東西。$10k host essay-header 非常讓人眼前一亮,但相對於新的研究來說,它更偏向於對已知漏洞的綜合利用。 Hiding Wookies in HTTP 也很不錯,但很遺憾,在提名階段它就沒被社群投票入選。而 Dont Trust The DOM 在入圍階段得分很高,但卻沒挺過最終的評審投票。

今年的評選活動帶點實驗性質,但也進展順利,我們會對評選流程進行多種調整和改進。在明年,我們會開發一個定製化的投票平臺,消除一些可疑投票情況,更加便利公平地實現評選。


●編號724,輸入編號直達本文

●輸入m獲取文章目錄

推薦↓↓↓

 

Linux學習

更多推薦18個技術類微信公眾號

涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。

贊(0)

分享創造快樂