<small id="hjex1"></small>

        <tbody id="hjex1"></tbody>
      1. <menuitem id="hjex1"></menuitem>
        <menuitem id="hjex1"></menuitem>

          安基網 首頁 安全 Web安全 查看內容

          2018年十大Web黑客技術榜單

          2019-3-13 17:32| 投稿: lofor |來自: 互聯網


          免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

          摘要: 2018年過去了,在這一年中,隨著Web功能應用的越加廣泛化,針對Web層面的攻擊也越加多樣化和精細化。最近,由Portswigger公司發起的“2018年十大WEB黑客技術”出爐了!在最初的59個提名技術議題中,由社區投票初選出了15個,之后,又經由James Kettle、Nicolas Grégoire、Soroush Dalili和Filedescriptor組成的評審組討論之后,投票選出了最終十大最具創新性的WEB黑客技術。

          2018年過去了,在這一年中,隨著Web功能應用的越加廣泛化,針對Web層面的攻擊也越加多樣化和精細化。最近,由Portswigger公司發起的“2018年十大WEB黑客技術”出爐了!在最初的59個提名技術議題中,由社區投票初選出了15個,之后,又經由James Kettle、Nicolas Grégoire、Soroush Dalili和Filedescriptor組成的評審組討論之后,投票選出了最終十大最具創新性的WEB黑客技術。

          評審組一致認為,這十大WEB黑客技術將能經受時間考驗,并會在未來幾年內引發出更多的攻擊面。我們一起從第十名開始,來倒序梳理2018年的這TOP 10 WEB黑客技術。

          十、用跨站搜索(XS-Search)在谷歌問題跟蹤平臺實現敏感信息獲取

          Luan Herrera的這篇漏洞writeup,非常直接地點題:跨站搜索(XS-Search),對,這種類似于邊信道的攻擊,通過向目標站點發送搜索請求,結合特定搜索功能,根據響應時間差異(XS-Timing),來消除不穩定的網絡延遲,判斷目標服務端隱私信息的準確性,間接繞過”同源策略“影響,是一種新型的Web攻擊方式。在可搜索信息量較大,或目標服務端搜索功能多樣化的場景下,是一種有效的信息獲取手段。在未來,將會出現更多的XS-Search漏洞。

          九、通過公式注入(Formula Injection)的數據滲漏

          安全研究員Ajay和Balaji通過研究谷歌表格(Spreadsheet)和LibreOffice,發現了其中的一系列數據滲漏(Data Exfiltration)技術。這些技術手段可能沒有排名靠前的技術議題亮眼,但卻非常實用上手,對于驗證此類型漏洞來說非常有用。

          如果你想確切知道惡意電子表格與web安全的關系,你可以仔細查看其中的逗號分隔漏洞(Comma Separated Vulnerabilities)。當然,還有2018年首次被發現的服務端公式注入漏洞。

          八、Prepare(): 一種新的WordPress漏洞利用方式

          WordPress應用廣泛,算是一個比較全面復雜的內容管理系統了,以至于對它的每個漏洞利用都能成為一門獨立學問。安全研究員Robin Peraglie分享了他基于Slavco Mihajloski對PHP反序列化漏洞的分析,深入研究了WordPress中double prepared statements的漏洞利用。

          七、利用本地DTD文件(文檔類定義文件)實現XXE漏洞利用

          對Blind XXE的漏洞利用,通常需要依賴于是否可以加載外部文件或攻擊者托管文件,而且有時候,存在漏洞的服務端還會被防火墻把出站流量阻攔。如何在這種常規漏洞利用中創新方式方法呢?安全研究員Arseniy Sharoglazov分享了他自己非常有創意的一種XXE利用方法,那就是通過對本地DTD文件的利用去繞過防火墻的檢測機制。

          盡管這種漏洞利用方法僅對某幾種特定的XML解析器和配置方式有效,但一旦攻擊成功,其威脅影響遠超一般的DoS,可以形成對目標服務器的完全控制。而且,在Twitter上,網友還對這種方法做出一種更靈活的改進。

          六、一種PHP反序列化漏洞:利用phar協議結構擴展PHP反序列化漏洞攻擊面

          此前可能小范圍的圈子知道,利用形如phar://的PHP流的封裝器,對一些如file_exists()看似無害的聲音操作行為進行濫用,可以觸發反序列化漏洞或實現遠程代碼執行(RCE)。在Sam Thomas的分享中,他以實際問題和包括WordPress在內的多個漏洞測試用例入手,進行了充分的研究印證。

          五、對“現代”Web技術的一種攻擊方式

          Web大神Frans Rosen通過一系列牛叉的研究表明,不管禁用與否,可以利用HTML5的應用緩存(AppCache)實現一系列奇妙的漏洞利用。他還在其中討論了,利用客戶端競爭條件發起的postMessage攻擊。

          四、NodeJS應用中的原型污染攻擊

          不影響PHP結構的某種特定編程語言漏洞非常厲害,Olivier Arteau在NorthSec會議上的分享就是這樣的,他介紹了一種在NodeJS應用中,基于__proto__實現對目標服務器的遠程代碼執行攻擊(RCE),這種攻擊此前只適用于某些客戶端應用中。作為測試來說,可以在Portswigger推出的Backslash Powered Scanner掃描插件中,通過添加__proto__ 作為規則來對目標網站進行暫時性的漏洞測試。

          三、超越XSS:ESI標記語言注入(Edge Side Include Injection)

          Edge Side Includes (ESI) 是一種標記語言,主要在常見的HTTP代理中使用。通過ESI注入技術可以導致服務端請求偽造(SSRF),繞過HTTPOnly cookie的跨站腳本攻擊(XSS)以及服務端拒絕服務攻擊。

          延續了傳統網絡技術再次成為漏洞利用媒介的主題,Louis Dion-Marcil發現,很多流行的反向代理會被通過ESI注入方式,形成一些如SSRF的攻擊。該高質量的技術議題研究揭示了很多極具威脅的漏洞利用場景,另外,其中通過JSON響應的HTML利用,表明其攻擊威力遠超XSS技術。

          二、實戰Web緩存投毒:重新定義 ‘Unexploitable’

          在Portswigger技術總監James Kettle的發現分享中,他展示了如何基于隱藏的HTTP頭,利用惡意內容對Web緩存進行毒化。評審組一致認為,該技術是一種 “在傳統基礎上出色而有深度的研究”、“原創性強且研究透徹”、“思路清晰又簡潔實用”。

          一、Breaking Parser Logic! Take Your Path Normalization Off and Pop 0days Out

          這是臺灣白帽Orange Tsai(蔡政達)在2018 Black Hat USA上的議題,他介紹了如何基于“不一致性”安全問題,綜合利用4個功能性Bug,實現對亞馬遜(Amazon)協同平臺系統的遠程代碼執行。由于該議題技術會對當下流行的網站框架、獨立服務器和反向代理類應用產生影響,考慮到其技術研究的良好實用性、強大威脅隱患和廣泛影響范圍,評審組一致推薦其為當之無愧的第一名。這是繼2017之后,Orange Tsai又一次蟬聯TOP 10榜首!牛!恭喜!

          大家可以點此查看59項提名技術議題,也可參考2017年的TOP 10 Web黑客技術榜單

          *參考來源:Portswigger,clouds編譯,轉載請注明來自FreeBuf.COM


          Tag標簽: Web安全

          小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!



          免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


          鮮花

          握手

          雷人

          路過

          雞蛋

          相關閱讀

          最新評論

           最新
          返回頂部
          北京赛车高手经验分享