新闻中心-凯发娱乐

总结回望丨2018年十大web黑客技术榜单

2019-03-13 17:50:26

   

2018年过去了，在这一年中，随着web功能应用的越加广泛化，针对web层面的攻击也越加多样化和精细化。最近，由portswigger公司发起的“2018年十大web黑客技术”出炉了！在最初的59个提名技术议题中，由社区投票初选出了15个，之后，又经由james kettle、nicolas grégoire、soroush dalili和filedescriptor组成的评审组讨论之后，投票选出了最终十大最具创新性的web黑客技术。

评审组一致认为，这十大web黑客技术将能经受时间考验，并会在未来几年内引发出更多的攻击面。我们一起从第十名开始，来倒序梳理2018年的这top 10 web黑客技术。

十、用跨站搜索（xs-search）在谷歌问题跟踪平台实现敏感信息获取

luan herrera的，非常直接地点题：跨站搜索（xs-search），对，这种类似于边信道的攻击，通过向目标站点发送搜索请求，结合特定搜索功能，根据响应时间差异（xs-timing），来消除不稳定的网络延迟，判断目标服务端隐私信息的准确性，间接绕过”同源策略“影响，是一种新型的web攻击方式。在可搜索信息量较大，或目标服务端搜索功能多样化的场景下，是一种有效的信息获取手段。在未来，将会出现更多的xs-search漏洞。

九、通过公式注入（formula injection）的数据渗漏

安全研究员ajay和balaji通过研究谷歌表格（spreadsheet）和libreoffice，发现了其中的。这些技术手段可能没有排名靠前的技术议题亮眼，但却非常实用上手，对于验证此类型漏洞来说非常有用。

如果你想确切知道恶意电子表格与web安全的关系，你可以仔细查看其中的逗号分隔漏洞（comma separated vulnerabilities）。当然，还有2018年首次被发现的服务端公式注入漏洞。

八、prepare(): 一种新的wordpress漏洞利用方式

wordpress应用广泛，算是一个比较全面复杂的内容管理系统了，以至于对它的每个漏洞利用都能成为一门独立学问。安全研究员robin peraglie分享了他，深入研究了wordpress中double prepared statements的漏洞利用。

七、利用本地dtd文件（文档类定义文件）实现xxe漏洞利用

对blind xxe的漏洞利用，通常需要依赖于是否可以加载外部文件或攻击者托管文件，而且有时候，存在漏洞的服务端还会被防火墙把出站流量阻拦。如何在这种常规漏洞利用中创新方式方法呢？安全研究员arseniy sharoglazov，那就是通过对本地dtd文件的利用去绕过防火墙的检测机制。

尽管这种漏洞利用方法仅对某几种特定的xml解析器和配置方式有效，但一旦攻击成功，其威胁影响远超一般的dos，可以形成对目标服务器的完全控制。而且，在twitter上，网友还对这种方法做出一种更灵活的改进。

六、一种php反序列化漏洞：利用phar协议结构扩展php反序列化漏洞攻击面

此前可能小范围的圈子知道，利用形如phar://的php流的封装器，对一些如file_exists()看似无害的声音操作行为进行滥用，可以触发反序列化漏洞或实现远程代码执行（rce）。在，他以实际问题和包括wordpress在内的多个漏洞测试用例入手，进行了充分的研究印证。

五、对“现代”web技术的一种攻击方式

web大神frans rosen通过，不管禁用与否，可以利用html5的应用缓存（appcache）实现一系列奇妙的漏洞利用。他还在其中讨论了，利用客户端竞争条件发起的postmessage攻击。

四、nodejs应用中的原型污染攻击

不影响php结构的某种特定编程语言漏洞非常厉害，olivier arteau在就是这样的，他介绍了一种在nodejs应用中，基于__proto__实现对目标服务器的远程代码执行攻击（rce），这种攻击此前只适用于某些客户端应用中。作为测试来说，可以在portswigger推出的backslash powered scanner扫描插件中，通过添加__proto__ 作为规则来对目标网站进行暂时性的漏洞测试。

三、超越xss：esi标记语言注入（edge side include injection）

edge side includes (esi) 是一种标记语言，主要在常见的http代理中使用。通过esi注入技术可以导致服务端请求伪造（ssrf），绕过httponly cookie的跨站脚本攻击（xss）以及服务端拒绝服务攻击。

延续了传统网络技术再次成为漏洞利用媒介的主题，louis dion-marcil发现，很多流行的反向代理会被通过esi注入方式，形成一些如ssrf的攻击。研究揭示了很多极具威胁的漏洞利用场景，另外，其中通过json响应的html利用，表明其攻击威力远超xss技术。

二、实战web缓存投毒：重新定义 ‘unexploitable’

在portswigger技术总监james kettle的中，他展示了如何基于隐藏的http头，利用恶意内容对web缓存进行毒化。评审组一致认为，该技术是一种 “在传统基础上出色而有深度的研究”、“原创性强且研究透彻”、“思路清晰又简洁实用”。

一、breaking parser logic! take your path normalization off and pop 0days out

这是台湾白帽orange tsai（蔡政达），他介绍了如何基于“不一致性”安全问题，综合利用4个功能性bug，实现对亚马逊（amazon）协同平台系统的远程代码执行。由于该议题技术会对当下流行的网站框架、独立服务器和反向代理类应用产生影响，考虑到其技术研究的良好实用性、强大威胁隐患和广泛影响范围，评审组一致推荐其为当之无愧的第一名。这是继2017之后，orange tsai又一次蝉联top 10榜首！牛！恭喜！

*参考来源：，clouds编译，

稿源：freebuf.com，封面源自网络;

转载链接：https://www.freebuf.com/articles/web/197276.html

本站系本网编辑转载，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题，请在30日内与本网联系，我们将在第一时间删除内容！[声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权。