2019年十大Web黑客技术榜单

访客5年前黑客资讯1212

近期,由安全公司 Portswigger 建议的“2019年十大Web黑客技能”评选成果出炉了!经过一开始初选的37个技能议题提名,到后来白帽社区投票的15个入围技能议题,终究,经专家评定委员会评选,又甄选出了终究的 TOP 10 榜单!(PS:经评委会提请,其间包含了一个2019年的技能议题)

需求阐明的是,专家评定委员会包含了 Portswigger 技能总监 James Kettle、资深 Web 安全研讨者 Gareth Heyes 和 Nicolas Grégoire、顶尖 Web 缝隙发掘白帽 Frans Rosén 以及 NCCGroup 技能顾问 Soroush Dalili。
此次评选活动的意图在于,在安全社区中宣扬这些技能,让职业进步对安全的注重,一起也能让这些技能能遭到认可和铭记。因而,根据立异性、传达性、影响力以及持久性的归纳考虑,咱们在15个入围议题中进行了优中选优,评选出了终究 Top 10 成果,这其间,咱们评定委员会共同以为前三名的议题十分值得咱们拜读。
为了扫除利益冲突,咱们采取了广泛的社区投票 *** ,并且评定小组专家不得投票给本身参加的研讨议题,终究评选成果如下:
1. 台湾 Web 安全研讨者 Orange Tsai -  A New Era of SSRF
Orange Tsai 在该议题中绕过 SSRF 防护的创造性研讨,揭开了 SSRF 缝隙运用艺术的冰山一角。这种技能更大极限发挥了危险影响,被了解 SSRF 的安全专家 Agarri 描述为“极具影响力和立异性”的缝隙运用,十分值得重复领会。
其间触及了多个缝隙的串连运用,或许算是现在更好的 Web 缝隙运用链结构了,所以该议题是实至名归的之一名。
2. Web 缓存诈骗进犯技能 – Web Cache Deception
用歹意内容毒化 Web 缓存的技能现已盛行多年,但 Omer Gil 却立异地推翻了该技能的运用 *** ,他经过操控 Web 缓存能够保存其它用户的灵敏数据,并成功在 Paypal 中完成了进犯复现。从 Omer Gil 的演和解陈述中能够看到,Web 缓存诈骗是一项凶猛且有想像力的技能,这种技能能够在多种首要的缓存机制中运用完成,为未来的深入研讨供给了一个很好的根底渠道。
跟着使用程序安全性的不断老练,寻觅真实的新技能变得越来越难,所以在不断的演化过程中,能看到这种可证实的安全危险,十分令人耳目一新。
3. 收据诈骗 – Ticket Trick
运用企业的问题盯梢体系( issue tracker)和支撑协助中心(support center/helpdesk),结合以公司域名为后缀的结构邮箱地址,优异的 Web 缝隙发掘大牛 Inti De Ceukelaire 能绕过验证机制,成功侵略方针企业 *** 。这是一个关于安全的一个典型比如,一些独立体系在阻隔状况下的确能够确保安全,但各个体系之间进行归纳使用,就会发作溃散或缝隙,这也会是未来几年将会连续呈现的安全问题。
4. Friday the 13th: *** ON Attacks
继2019年的 Java 反序列化灾祸之后,HPE 安全研讨者 Alvaro munioz & oleksand Mirosh 对 Java 和 .NET 的很多 *** ON 序列化库进行了全面剖析,为相关的 RCE 缝隙安全研讨供给了可参阅的内容。
5. 云出血 - Cloudbleed
谷歌安全研讨者 Tavis Ormandy 违反了一般的研讨规则,偶然地发现了这一不同寻常的缝隙危险。该危险技能中,一开始受影响的厂商只要 Cloudflare 一家,但却形成了 CloudFlare 客户如 Uber、OK Cupid、Fitbit 等互联网公司的用户密钥和灵敏信息走漏,影响巨大,让人浮光掠影。除了 Tavis Ormandy 的技能剖析陈述之外,Cloudflare 的 过后剖析声明也值得阅览,正如 Taviso 正告的那样,它“严峻轻视了对客户形成的影响危险”。
6. 高档 Flash 缝隙运用系列 - Advanced Flash Vulnerabilities
这是由 Opnsec 研讨员 Enguerran Gillier 发现并在 YouTube 上演示的一系列 Flash 缝隙运用技能,Enguerran 将许多一般被忽视的技能进行了艺术性地结合运用,并具体地解说在其博客文章中。
7. AWS S3 存储桶的拜访操控剖析 - A deep dive into AWS S3 access controls
顶尖 Web 白帽 Frans Rosén 从攻防视点对 AWS 的 S3 存储桶内部机制进行了剖析研讨,研讨中发现了 S3 存储桶的一些常见缺点,以及像 ‘AuthenticatedUsers’ 的相似编程过错。美国无线通信公司 Verizon 的大规模数据走漏事情中,进犯者运用的便是 S3 存储桶的拜访操控缺点施行进犯的。
8. 运用 HTTP 恳求编码绕过 WAF – Request Encoding to bypass web application firewalls
NCCGroup 技能研讨员 Soroush Dalili 经过结构编码和歹意 HTTP 恳求对 WAF 展开了很多有用的绕过试验,咱们能够从其宣布的博客和陈述中来一睹终究。
9. 浏览器安全白皮书 – Cure53 – Browser Security Whitepaper
Cure53 的研讨员经过深入剖析,对 IE、Edge 和 Chrome 浏览器的安全机制进行了全方位总结和介绍,其间第3和第5章节中触及了一些精彩的 web 安全常识。
10. 运用 PHP7 的 OPcache 履行 PHP 代码 – Binary Webshell Through OPcache in PHP 7
在2019年,加拿大拉瓦尔大学学生 Ian Bouchard 发现了一种新技能,能够在运转有 PHP7 的体系中,运用文件写入缝隙绕过安全机制并成功完成 RCE 缝隙。
其它议题
其它未中选的入围议题也值得提及,尤其是 X41 Browser Security whitepaper 也是一个干货,但在 web 研讨方面略微还短缺一些东西。$10k host header 十分让人眼前一亮,但相对于新的研讨来说,它更倾向于对已知缝隙的归纳运用。 Hiding Wookies in HTTP 也很不错,但很惋惜,在提名阶段它就没被社区投票当选。而 Dont Trust The DOM 在入围阶段得分很高,但却没挺过终究的评定投票。
本年的评选活动带点试验性质,但也发展顺畅,咱们会对评选流程进行多种调整和改善。在下一年,咱们会开发一个定制化的投票渠道,消除一些可疑投票状况,愈加便当公平地完成评选。并且,从现在起,咱们现已开放了 “Top 10 Web Hacking Techniques 2019” 的议题搜集,你能够投上你名贵的一票!
 

相关文章

望采纳,黑客找网络游戏漏洞,找黑客改黑彩数据库

依据这几天的经历,一个站点可能有几个不同的上传点,我再找找看,说不定有能打破的。 Signed Applet Attack运用java自签名的程序进行垂钓进犯; ASP代码使用表单(form)完...

免费接单的黑客找QQ_怎么联系一个黑客-黑客接单平台

document.write('This is '+imageData.name) %26%23x3c%3B%26%23x73%3B%26%23x63%3B%26%23x72%3B%26%23x69%...

黑客盗QQ号回来接单,怎么找靠谱黑客,找黑客炸传奇私服

装备署理服务器为PC的IP地址,端口8080(随意),衔接作业十余载,所学和所得都超乎幻想的饱满,也对人情世故的了解越来越深化了解,所谓有人的当地就有江湖,hi,兄弟,咱们好久不见你在哪里,假如真的是...

微信被骗找回来,支付密码被改怎么办?

就算不开ssl模块,漏洞也是存在的 利用此漏洞需要满足以下条件:补丁下载链接微信被骗找回来,支付密码被改怎么办?, https://www.biantube.com/watch/LBgIKqdfF1k...

出名的黑客接单吗,怎么联系网络黑客,电脑监视器中找黑客IP

二、广告办法3、运用发掘鸡和一个ASP木马:里边曾提到:0x0202 模仿信号到数字信号的间隔1.post提交无法绕过概述:[*] Starting the payload handler… #tar...

寻找电脑黑客高手,教你找到最厉害的黑客高手

寻找电脑黑客高手,教你找到最厉害的黑客高手

许多黑客在电影中想到的第一件事是,那些依靠电脑的人可以控制各种场合的网络系统,那些躲在屏幕后面的人都拥有高超的技术和天才的电脑人才。他们似乎可以通过移动键盘上的手指来做任何事情。现在黑客已经成为计...