发布:2018年10月11日在14:40 UTC
更新:2021年1月5日在14:10 UTC
判决在进行!下列的37个提名我们的专家小组授予并选择了2017年(和2016年)的十大网络黑客技巧。beplay体育能用吗
面板由我和杰出的研究人员加雷斯·海斯(Gareth Heyes),,,,尼古拉斯·格雷戈尔,,,,弗朗斯·罗森, 和Soroush Dalili。我们的目标是传播对这些技术的认识,还可以帮助防止他们在未来几年被遗忘。因此,我们通过创新,广泛和有影响力的发现以及他们将继续相关的时间来评估15名提名人。整个面板特别将前三个结果一致认为是必读的文章。
我们最初决定通过排除Portswigger研究来防止利益冲突,但是在我们决定进行广泛的投票小组之后,很明显,我们需要一个更好的系统。beplay官网可以赌我们最终决定不允许小组成员对与他们有关联的研究进行投票,并调整最终成绩以进行补偿。当然,重新引入Portswigger研究为时已晚,所以我们永远不会知道这样的beplay官网可以赌破裂镜头和没有HTML的XS会得分;)
我们将从第十名开始进行结果,并迈向今年的最佳研究:
在这一点博客文章从2016年开始伊恩·布沙德(Ian Bouchard)揭示了一种新颖的技术,可以绕过硬化并通过文件写入漏洞成功获得RCE,这是在运行PHP 7的系统上。
在这一点巨大的白皮书由Google委托,治疗53深入了解Internet Explorer,Edge和Chrome的安全性。第3-5章特别包含一些有趣的网络安全知识。beplay体育能用吗
其中Soroush Dalili通过编码和畸形的HTTP请求,可以做一些疯狂的事情,以围绕许多WAF跳舞。不幸的是,录制了演示文稿,但可以从二博客帖子和更新幻灯片。
在深入研究AWS S3访问控件,,,,弗朗斯·罗森从攻击者的角度和后卫的角度检查了S3桶的内部工作。它涵盖了许多常见的陷阱,包括令人惊叹和有趣的“身份验证者”。
这个系列博客文章经过Enguerran Gillier在YouTube中使用一系列漏洞来介绍并说明了几种高级闪存剥削技术。在这些非常有解释的帖子中,他将许多经常被忽视的技术与艺术风格结合在一起。
这个略有挑战的条目塔维斯·奥曼迪Flouts关于研究的外观的共同概念 - 它是偶然发现的,只会影响一个供应商,几乎不需要主动剥削。然而,它显然产生了巨大的影响,并且将使许多人在可预见的未来敞开心动披露记忆披露。
除了原始错误报告,也值得阅读Cloudflare的验尸尽管要当心Taviso警告说,“严重降低了对客户的风险”。
跟随爪哇避免启示录在2016年,AlvaroMuñoz&Oleksandr Mirosh对Java和.Net的众多JSON(DE)序列化库进行了全面分析,为我们其他人提供了持续的RCES供应。它两者都可以作为介绍和白皮书。
票务是一种发明技术Inti de Ceukelaire滥用问题跟踪器和支持中心,以闯入隐式信任某个域中的所有电子邮件地址的系统。这是一个很好的例子,说明如何完全隔离独立系统,但在合并后会崩溃,我们希望这是未来几年的有效技术。
这也是前三名中唯一具有徽标的条目,尽管我不确定这是否值得赞扬。
黑客多年来一直在毒害恶意内容的网络缓存,但是beplay体育能用吗Omer Gil采用了这项技术并将其翻转为头,找到一种操纵网络缓存的方法,以节省其他用户的敏感数据,并在PayPal上进行证明。beplay体育能用吗作为两个介绍和白皮书,Wbeplay体育能用吗eb Cache欺骗是一种强大而富有想象力的技术,仍然适用于多个主要缓存,我怀疑将为未来几年提供进一步研究的平台。
寻找真正的新技术变得越来越困难应用程序安全成熟,因此,看到人们年复一年地证明人们仍然有可能。
SSRF的新时代经过橙色泰通过一系列绕过SSRF防御能力并最大程度地发挥影响力的冰期技术,提高了SSRF开发的艺术状况。阿加里(Agarri)被描述为“有影响力和创新的”对SSRF了解一些自己,幻灯片用漏洞挤压,使它值得第二或第三读。
它还具有我见过的最好的漏洞链之一,足以使任何人永远取消用户提供的URL。当之无愧的第一。
从那以后,我们已经建立了beplay体育能用吗网络安全学院实验室您可以在其中尝试自己应用这项研究。
一些没有使它进入前十名的亚军值得一提。这X41浏览器安全白皮书是一个可靠的资源,但对Web研究和beplay体育能用吗$ 10K主机标头是闪亮的,但更多的是已知技术的优雅应用,而不是新鲜的研究。我很喜欢http中隐藏wookies但完全忘记提名它,不信任DOM可能在小组中得分很高,但在社区投票中并没有幸免。
今年有点实验性,但是它已经过得很好,我们对如何改善明年的过程有很多想法。有一些可疑的投票模式使我们很高兴我们执行了Google登录,我们计划明年建立一个定制的投票平台,以进一步减轻这种情况并使投票更加轻松。我们还可以避免排除任何研究,并在2019年1月的研究中立即启动该过程。实际上我们已经开放提名对于2018年。如果您想知道如何发明一项将您列入明年列表的技术,那么我已经发布了一个有关如何成为网络安全研究人员的指南beplay体育能用吗。
非常感谢小组成员们的时间和专业知识,马特·约翰森和耶利米·格罗斯曼(Jeremiah Grossman)为了支持过渡以及更广泛的社区,以获得许多提名和投票。
更新:2019年的十beplay体育能用吗大网络黑客技术现在出去了。
