“防守者仍然有时间赶上并做功课”
更新根据去年最佳网络黑客入侵技术的清单,利用缓存漏洞是安全研究人员的主要趋势。beplay体育能用吗
beplay官网可以赌Pbeplay体育能用吗ortswigger Web Security的年度荣誉名单(由公共和行业法官都投票)于周四发布。
今年的小组包括研究人员尼古拉斯·格雷戈尔(NicolasGrégoire2018年的十beplay体育能用吗大网络黑客技巧。
在浏览了获胜的漏洞之后,安全工程师和OWASP KUWAIT分会负责人穆罕默德·阿尔杜布(Mohammed Aldoub)说,缓存攻击是一个主题。
“我注意到的一种趋势是针对缓存层的攻击,尤其是边缘一侧包括注射和缓存中毒,”阿尔杜布告诉每日swbeplay2018官网ig。
“缓存是一个复杂的主题,并且在许多层中独立实施:HTTP服务器;应用服务器;第三方缓存和CDN,缓存服务器(例如REDIS),ORM缓存,完整的HTML响应缓存(如Varnish),基于云的缓存(如Elasticache),ISP级别缓存,这意味着缓存问题不是一个问题可以通过标题或简单的DevOps策略来解决。它需要故意的照顾和关注。
“但是,由于缓存攻击仍然并不容易自动化,因此防守者仍然有时间赶上并做功课。
“一旦攻击者获得了扩展缓存攻击,Google-Dork并产生明显的结果(例如接管帐户)的能力,它将非常受欢迎,非常快。”
他补充说:“我注意到列表中缺少的是云本机攻击技术,例如无服务器事件数据注入攻击,随着无服务器的采用,功能和灵活性的增加,它将变得越来越流行。”
青铜,银,橙色
今年的第二和第三名被交给了詹姆斯·凯特尔(James Kettle)调查进入beplay体育能用吗网络缓存中毒,以及路易斯·迪恩·玛尔(Louis Dion-Marcil)的研究SSRF和XSS。
狄翁·玛尔(Dion-Marcil)推文:“很高兴能在此列表上完成!!谢谢 @el_d33,以及所有很酷的人,这些人都掌握了这项研究!”
水壶补充说:“非常恭喜 @橙色_8361,@ldionmarcil,Olivier Arteau,@fransrosen,@_s_s_n_t,@_mohemiv,Robin Peraglie, @9r4shar4j4y/ @iambalaji7和iambalaji7和luan herrera!您的研究是我们所有人的灵感”
在2017年获胜后,Orange Tsai再次获得了首位。打破解析器逻辑:取下路径正常化并弹出0天!”,成功地证明了如何滥用路径验证中的缺陷以产生广泛的结果。
台湾人,他在美国黑帽子上揭示了他的研究2018年,他在推特上发表了感谢表情符号。
“这是Orange的第二年进行的研究,已经超越了董事会,因此我们将在2019年密切关注!”水壶写道。
“永恒的技术”
阿尔杜布说,他认为橙色泰赛的广泛研究将很难击败。
他说每日swbeplay2018官网ig:“排名第一的技术 - 打破解析器的逻辑 - 是一种永恒的技术,可能会留在那里作为最高竞争者。
“我们自动化的越多,并且我们肯定会依赖于解析和自动化的输入理解。而且我们将继续犯同样的错误。如果不是解析器是越野车,那可能是开发人员不知道解析器的特征和行为。”
帮助判断最终清单的索鲁斯·达利利(Soroush Dalili)告诉每日swbeplay2018官网ig:“我认为,最好的10条技术仅是关于新研究的,而不仅仅是修补的漏洞,除非它们使用新方法。
“我认为我们在今年的前十名中几乎实现了这一目标,并且所选项目的质量总体上很高。我们归功于社区以及研究人员。谢谢大家的分享和关怀!”
阿尔杜布(Aldoub)得出结论:“我认为所有这些条目都是惊人的,并且是研究人员非常出色的研究和对细节的关注的成果。
“我认为前三种技术赢得了他们的获胜位置。对于仍在执行常规AppSec的人们来说,这是最后通atum。我们需要进化。”
本文已更新以包括评审团的评论
