• 宝鸡市陈仓区党员干部助力夏收帮扶困难群体 2019-04-13
  • 滚滚而来的温暖!山坡上滚下万斤爱心榨菜头 2019-04-08
  • 中国科研团队刷新暗物质探测灵敏度 2019-04-08
  • 定陶战役:示弱于敌重点围歼的范例 2019-03-20
  • 里约奥运变化与机遇并存 充分准备迎接挑战 2019-03-20
  • 我国居民人均预期寿命又提高了 2017年提高至76.7岁 2019-03-17
  • 【三年决战奔小康】一封来自甘南精准扶贫户的感谢信 2019-03-17
  • 新时代新平台新机遇“一带一路”大型网络主题活动 2019-03-15
  • 学生睡觉摔骨折 法院主动出击促调解 2019-03-07
  • 总览传奇般的——波尔多八大酒庄柏图斯波尔多 2019-03-07
  • 它不会比如何做好一餐饭的难度大,或者道理更多。 2019-03-02
  • 高清:中国男篮抵达洛杉矶 长途飞行队员略显疲惫 2019-02-27
  • 新疆非法转基因玉米案:4被告获刑 近三千亩涉案玉米被铲 2018-11-22
  • 湖北治理违规提取公积金 防止用公积金炒房 2018-11-21
  • 罗品禧的专栏作者中国国家地理网 2018-11-20
  • |
    |
    51CTO旗下网站
    |
    |
    移动端

    总结丨2018年十大Web黑客技术榜单

    2018年过去了,在这一年中,随着Web功能应用的越加广泛化,针对Web层面的攻击也越加多样化和精细化。最近,由Portswigger公司发起的“2018年十大WEB黑客技术”出炉了!

    作者:clouds来源:Freebuf|2019-03-13 14:01

    广东11选五精准计划 www.flxp.net 2018年过去了,在这一年中,随着Web功能应用的越加广泛化,针对Web层面的攻击也越加多样化和精细化。最近,由Portswigger公司发起的“2018年十大WEB黑客技术”出炉了!在最初的59个提名技术议题中,由社区投票初选出了15个,之后,又经由James Kettle、Nicolas Grégoire、Soroush Dalili和Filedescriptor组成的评审组讨论之后,投票选出了最终十大最具创新性的WEB黑客技术。

    评审组一致认为,这十大WEB黑客技术将能经受时间考验,并会在未来几年内引发出更多的攻击面。我们一起从第十名开始,来倒序梳理2018年的这TOP 10 WEB黑客技术。

    十、用跨站搜索(XS-Search)在谷歌问题跟踪平台实现敏感信息获取

    Luan Herrera的这篇漏洞writeup,非常直接地点题:跨站搜索(XS-Search),对,这种类似于边信道的攻击,通过向目标站点发送搜索请求,结合特定搜索功能,根据响应时间差异(XS-Timing),来消除不稳定的网络延迟,判断目标服务端隐私信息的准确性,间接绕过”同源策略“影响,是一种新型的Web攻击方式。在可搜索信息量较大,或目标服务端搜索功能多样化的场景下,是一种有效的信息获取手段。在未来,将会出现更多的XS-Search漏洞。

    九、通过公式注入(Formula Injection)的数据渗漏

    安全研究员Ajay和Balaji通过研究谷歌表格(Spreadsheet)和LibreOffice,发现了其中的一系列数据渗漏(Data Exfiltration)技术。这些技术手段可能没有排名靠前的技术议题亮眼,但却非常实用上手,对于验证此类型漏洞来说非常有用。

    如果你想确切知道恶意电子表格与web安全的关系,你可以仔细查看其中的逗号分隔漏洞(Comma Separated Vulnerabilities)。当然,还有2018年首次被发现的服务端公式注入漏洞。

    八、Prepare(): 一种新的WordPress漏洞利用方式

    WordPress应用广泛,算是一个比较全面复杂的内容管理系统了,以至于对它的每个漏洞利用都能成为一门独立学问。安全研究员Robin Peraglie分享了他基于Slavco Mihajloski对PHP反序列化漏洞的分析,深入研究了WordPress中double prepared statements的漏洞利用。

    七、利用本地DTD文件(文档类定义文件)实现XXE漏洞利用

    对Blind XXE的漏洞利用,通常需要依赖于是否可以加载外部文件或攻击者托管文件,而且有时候,存在漏洞的服务端还会被防火墙把出站流量阻拦。如何在这种常规漏洞利用中创新方式方法呢?安全研究员Arseniy Sharoglazov分享了他自己非常有创意的一种XXE利用方法,那就是通过对本地DTD文件的利用去绕过防火墙的检测机制。

    尽管这种漏洞利用方法仅对某几种特定的XML解析器和配置方式有效,但一旦攻击成功,其威胁影响远超一般的DoS,可以形成对目标服务器的完全控制。而且,在Twitter上,网友还对这种方法做出一种更灵活的改进。

    六、一种PHP反序列化漏洞:利用phar协议结构扩展PHP反序列化漏洞攻击面

    此前可能小范围的圈子知道,利用形如phar://的PHP流的封装器,对一些如file_exists()看似无害的声音操作行为进行滥用,可以触发反序列化漏洞或实现远程代码执行(RCE)。在Sam Thomas的分享中,他以实际问题和包括WordPress在内的多个漏洞测试用例入手,进行了充分的研究印证。

    五、对“现代”Web技术的一种攻击方式

    Web大神Frans Rosen通过一系列牛叉的研究表明,不管禁用与否,可以利用HTML5的应用缓存(AppCache)实现一系列奇妙的漏洞利用。他还在其中讨论了,利用客户端竞争条件发起的postMessage攻击。

    四、NodeJS应用中的原型污染攻击

    不影响PHP结构的某种特定编程语言漏洞非常厉害,Olivier Arteau在NorthSec会议上的分享就是这样的,他介绍了一种在NodeJS应用中,基于__proto__实现对目标服务器的远程代码执行攻击(RCE),这种攻击此前只适用于某些客户端应用中。作为测试来说,可以在Portswigger推出的Backslash Powered Scanner扫描插件中,通过添加__proto__ 作为规则来对目标网站进行暂时性的漏洞测试。

    三、超越XSS:ESI标记语言注入(Edge Side Include Injection)

    Edge Side Includes (ESI) 是一种标记语言,主要在常见的HTTP代理中使用。通过ESI注入技术可以导致服务端请求伪造(SSRF),绕过HTTPOnly cookie的跨站脚本攻击(XSS)以及服务端拒绝服务攻击。

    延续了传统网络技术再次成为漏洞利用媒介的主题,Louis Dion-Marcil发现,很多流行的反向代理会被通过ESI注入方式,形成一些如SSRF的攻击。该高质量的技术议题研究揭示了很多极具威胁的漏洞利用场景,另外,其中通过JSON响应的HTML利用,表明其攻击威力远超XSS技术。

    二、实战Web缓存投毒:重新定义 ‘Unexploitable’

    在Portswigger技术总监James Kettle的发现分享中,他展示了如何基于隐藏的HTTP头,利用恶意内容对Web缓存进行毒化。评审组一致认为,该技术是一种 “在传统基础上出色而有深度的研究”、“原创性强且研究透彻”、“思路清晰又简洁实用”。

    一、Breaking Parser Logic! Take Your Path Normalization Off and Pop 0days Out

    这是台湾白帽Orange Tsai(蔡政达)在2018 Black Hat USA上的议题,他介绍了如何基于“不一致性”安全问题,综合利用4个功能性Bug,实现对亚马逊(Amazon)协同平台系统的远程代码执行。由于该议题技术会对当下流行的网站框架、独立服务器和反向代理类应用产生影响,考虑到其技术研究的良好实用性、强大威胁隐患和广泛影响范围,评审组一致推荐其为当之无愧的第一名。这是继2017之后,Orange Tsai又一次蝉联TOP 10榜首!牛!恭喜!

    大家可以点此查看59项提名技术议题,也可参考2017年的TOP 10 Web黑客技术榜单。

    【编辑推荐】

    【责任编辑:赵宁宁 TEL:(010)68476606】

    点赞 0
    分享:
    大家都在看
    猜你喜欢

    订阅专栏+更多

    Redis运维秘籍

    Redis运维秘籍

    运维标配技术
    共15章 | one叶孤舟

    57人订阅学习

    活学活用 Ubuntu Server

    活学活用 Ubuntu Server

    实战直通车
    共35章 | UbuntuServer

    235人订阅学习

    Java EE速成指南

    Java EE速成指南

    掌握Java核心
    共30章 | 51CTO王波

    89人订阅学习

    读 书 +更多

    大师品软件——软件之痛与应对之道

    这并不是一本传统的技术专著,因为它并没有包含一行代码,而更像是一部技术评论。作者通过幽默诙谐而又不失辛辣的语言,从程序员、用户等多...

    订阅51CTO邮刊

    点击这里查看样刊

    订阅51CTO邮刊

    51CTO服务号

    51CTO播客

    广东11选五精准计划
  • 宝鸡市陈仓区党员干部助力夏收帮扶困难群体 2019-04-13
  • 滚滚而来的温暖!山坡上滚下万斤爱心榨菜头 2019-04-08
  • 中国科研团队刷新暗物质探测灵敏度 2019-04-08
  • 定陶战役:示弱于敌重点围歼的范例 2019-03-20
  • 里约奥运变化与机遇并存 充分准备迎接挑战 2019-03-20
  • 我国居民人均预期寿命又提高了 2017年提高至76.7岁 2019-03-17
  • 【三年决战奔小康】一封来自甘南精准扶贫户的感谢信 2019-03-17
  • 新时代新平台新机遇“一带一路”大型网络主题活动 2019-03-15
  • 学生睡觉摔骨折 法院主动出击促调解 2019-03-07
  • 总览传奇般的——波尔多八大酒庄柏图斯波尔多 2019-03-07
  • 它不会比如何做好一餐饭的难度大,或者道理更多。 2019-03-02
  • 高清:中国男篮抵达洛杉矶 长途飞行队员略显疲惫 2019-02-27
  • 新疆非法转基因玉米案:4被告获刑 近三千亩涉案玉米被铲 2018-11-22
  • 湖北治理违规提取公积金 防止用公积金炒房 2018-11-21
  • 罗品禧的专栏作者中国国家地理网 2018-11-20
  • 足彩半全场什么意思 500万彩票网停售了吗 四川时时彩直播 新疆时时彩交流群 篮球胜分差什么意思 七星彩17053的规律图 15球规则 排列5直播开奖电视台 竞彩篮球胜分差 pk10自定义算法演算软件 北京赛车买9名的公式 北京pk10计算法 双色球除3excel公式 重庆百变王牌基本走势图百度彩票 总进球数竞猜技巧 7星彩18083期开奖结果