发布:2019年2月27日在15:45 UTC
更新:2021年1月5日在14:10 UTC
结果进来了!在获得了令人印象深刻的59项提名之后,随后进行了社区投票,选出15名决赛入围者,一个由我并指出的研究人员尼古拉斯·格雷戈尔,,,,Soroush Dalili和备案者授予,投票并选择了10种最具创新性的新技术,我们认为这些技术将承受时间的考验,并激发未来几年的新攻击。
我们将从第10号开始,并沿着年度最佳技术统计。
这篇博客文章作者卢安·埃雷拉(Luan Herrera)看起来像是一个简单的脆弱性写作,直到他创新使用浏览器缓存正时技术从臭名昭著的不可靠技术中消除网络延迟,使其令人惊讶地实用。我认为我们将来会看到更多XS-Search错误。
在这一点博客文章,,,,阿杰和巴拉吉探索来自Google Sheets和Libreoffice中电子表格的渗透数据的许多技术。它可能不如更高的物品光泽,但这是实用的,易于适用的研究,对于希望快速证明配方奶粉注射脆弱性的影响的任何人来说都是无价的。
如果您想知道恶意电子表格与Web安全性有关,请查看beplay体育能用吗逗号分开漏洞。还值得一提的是,2018年还为我们带来了第一个记录的服务器端公式注入。
WordPress是一只复杂的野兽,它越来越多地成为独立的纪律。在这个演讲中,罗宾·佩拉吉(Robin Peraglie)分享深入研究WordPress滥用双重准备的陈述,对PHP的臭名昭著的不陈述,建立在以前入围Slavco Mihajloski的研究。
试图利用盲人xxe通常依靠加载外部,攻击者托管文件,因此有时会因防火墙阻止弱势服务器的出站流量而挫败。在尼古拉斯(Nicolas)描述的博客文章中为“如何在知名领域进行创新”Arseniy Sharoglazov分享创意技术通过使用本地文件避免防火墙问题。
尽管仅限于某些XML解析器和配置,但是当它起作用时,该技术可以轻松地在DOS和完整的服务器妥协之间产生区别。这也引起了后续评论,显示了更多灵活的替代方案。
我们已经建立了一个beplay体育能用吗网络安全学院实验室您可以在演示环境中自己尝试此技术。
在某些圆圈中已知一段时间以来,可以使用php的phar://流包装器触发无害的文件操作,例如file_exists(),以触发deerialisation并获得RCE,但是山姆·托马斯(Sam Thomas)'白皮书和介绍最终,通过对实际问题和包括我们朋友WordPress在内的众多剥削案例研究进行了强有力的调查,将其拖入光明中。
其中弗朗斯·罗森(Frans Rosen)分享一些优质的研究表明,是否弃用,您可以为某些人滥用HTML5 AppCache精彩的利用。他还讨论了一些有趣的后攻击,利用客户端的比赛条件。
看到不影响PHP的语言特定脆弱性总是很棒的,这项研究提出了经过奥利维尔·阿尔图(Olivier Arteau)在诺斯克也不例外。它详细介绍了一种新颖的技术nodejs应用程序上的RCE通过使用以前仅应用于客户端应用程序的__proto__攻击。
我怀疑您可以通过在里面添加__proto__作为一个魔术词来扫描此漏洞后斜线驱动扫描仪,但请注意,这可能半途而废地删除了脆弱的网站。beplay体育能用吗
继续以旧网络技术为主题,以示他为漏洞,beplay体育能用吗路易斯·迪恩·玛尔(Louis Dion-Marcil)发现众多流行的反向代理有时会滥用黑客边缘侧包括给他们的XSS超级大国,包括SSRF。这项质量研究表明了许多高影响力利用场景,还通过在JSON响应中启用HTML的利用,不仅仅是XSS升级技术。
ER的这项研究詹姆斯·凯特尔(James Kettle)显示技术恶意内容的毒网beplay体育能用吗缓存使用模糊的HTTP标头。我自然禁止从对此进行投票/评论,但其他小组成员将其描述为“对旧话题的出色和广泛的新鲜研究”,“原创和执行精良的研究,具有非常清晰的方法论”和“简单而美丽”。我强烈建议您阅读,即使只是这样,您就可以自己决定我是否欺骗了近乎胜利的方式。
2020年更新:我们已经发布了六个免费的互动实验室,因此您可以亲自尝试网络缓存beplay体育能用吗中毒作为我们网络安全学院的一部分。beplay体育能用吗
橙色泰已经采取了攻击表面,许多错误地认为超越了希望,并将其砸碎了。他的出色的演示文稿显示路径验证中的细微缺陷如何通过始终严重的结果扭曲。整个小组都喜欢这项研究的实用性,原始影响和广泛的影响,影响框架,独立网络服务器和反向代理。beplay体育能用吗
这是第二年运行Orange的研究已成为董事会的首位,因此我们将在2019年密切关注!
大量提名导致了今年特别残酷的社区投票,许多可观的研究未能入围。因此,如果前十名离开您大声疾呼,您可能想仔细阅读整个提名列表也去年的前十名。另外,如果您想知道如何发明将您列入明年列表的技术,那么我就发表了有关该主题的个人建议因此,您想成为一名网络安全研究人员吗?beplay体育能用吗。
展望明年,我将尝试通过对提名进行稍微更严格的过滤器来使社区投票阶段有些光滑 - 尤其是,我会拒绝纯粹以非原始方式应用已知技术的脆弱性文章。我们还将考虑改进投票UI,也许在投票期间允许评论,以便您可以解释自己喜欢的研究背后的推理。
由于去年落后于计划,今年的投票非常迅速,但是明年该过程将于2020年1月推出。像往常一样,我们已经开放提名。最后,我要感谢社区中的每个人的研究,提名,投票和耐心。
直到明年!
更新:2019年的十beplay体育能用吗大网络黑客技术现在出去了。
