2020年前1beplay体育能用吗0个网攻击技术

欢迎来到2020年十大(小说)网络黑客技术,我们的beplay体育能用吗年度社区动力努力确定前一年发布的必须读取的Web安全研究。beplay体育能用吗

在过去的几周里,我们看到了这个社区提名54创新文件然后投票,把名单减到15名潜在候选人。最后,专家小组由NicolasGrégoire.Soroush Dalilifiledescriptor.而且我自己在15名决赛中投了投票,以创建官方前十名。

自2019年以来,我们已经看到了质量研究的不可否认的提高,使社区投票甚至更具竞争力。众多可爱的帖子没有做出最终的15;有些人狭隘地错过了秘密片段AST注入没有任何JavaScript的XSS,和我自己的beplay体育能用吗Web缓存纠缠在无数的其他人。

除了整体质量的提高,今年还有两个主题突出。社区投票显示了对利用代理和多层架构的新型攻击的强烈兴趣;包括跟进HTTP Desync攻击还有一些令人兴奋的新技术我们很快就会看到。我们还注意到,最好的攻击研究越来越倾向于应用层以下,无论是滥用TLS、分块编码、PDF内部还是数据包碎片。

废话少说,让我们开始倒计时。

10 - WAF逃避技巧

许多WAF逃避技巧只是一种强大而广泛的已知方法,用于理解和逃避Web应用程序防火墙。beplay体育能用吗是什么让这个脱颖而出的是PawełHałdrzyński.光荣的低级畸形块技术。当然,这来自哪里,它可能会因仅仅绕过WAFS而影响力。

9 -攻击MS Exchange Web界面beplay体育能用吗

我们都喜欢一个良好的班级休息,但良好的研究不仅仅是关于广泛适用的技术。攻击MS Exchange Web界面beplay体育能用吗经过阿尔塞·Sharoglazov在展示您可以在单个目标上实现极端深度的同时震惊整个面板。如果您遇到这项技术,它将非常宝贵,它还为未来的研究奠定了广泛的基础。

8 - ImageMagick - Shell注入通过PDF密码

在这篇文章中,亚历克斯目标是臭名昭著的ImageMagick图书馆,扭曲其大量的功能来创建一个多个特色,借助若干恶意错误报告,获取RCE。

研究发现过程往往是蒙上望远镜似乎有点神奇的风险,但是亚历克斯覆盖了他的发现之旅,使这篇文章能够让希望进入研究的人以及我们的人们想要一个壳。

7 - 未经身份验证的rce在MobileIron MDM上

谈到研究旅程,这篇新的常客新型员工橙色蔡显示了一个大师的工作。在MobileIron MDM上未经认证的RCE跟随他的旅程,因为他选择了一个目标和链条多个研究级技术在他的追求一个壳。没有什么比案例研究更能证明研究不只是理论,而Orange通过在Facebook上推出RCE就提供了一个很好的例子。干得好,一如既往。

6 - 通过反向代理商走私HTTP标头

在标题名称中使用下划线已经潜伏在社区意识的边缘好几年了——例如,它已经在Param矿工-很高兴见到你罗宾角用案例研究将其拖入光线中显示临界影响!更好的是,他使用它来破解SSL客户端身份验证,远离软目标。

5 - NAT滑流

小组有点冲突Nat气流这算是一种网络黑客技术,但我们beplay体育能用吗对研究的质量毫不怀疑。

(Samy Kamkar使用IP碎片来欺骗路由器将浏览器发出的HTTP请求的一部分解释为SIP数据包,并打开受害者的NAT。这种跨界跨学科攻击精美地展示了熟悉底层协议和邻近领域的熟悉价值。

4 - 当TLS攻击你时

SSRF.通常具有关键影响,但如果没有方便的Web服务来瞄准它,它可能会出现令人沮丧的无害。beplay体育能用吗TLS攻击你时SNI注入启发的技术是什么约书亚Maddux.优雅地结合了DNS rebinding和TLS会话恢复,以利用不会说HTTP的内部服务。作为enteDescriptor把它放了,他带来了Gopher://回来!

对于任何使用SSRF的人来说,这都是必要的阅读,我们期待在将来的开发报告中看到这种技术。

3 - 攻击Web应用程序中的辅助上下文beplay体育能用吗

现代网站是一个beplay体育能用吗高度纠缠的代理,负载平衡器和微服务。我们已经看到了很多路径遍历攻击利用这种混乱。什么山姆咖喱带来Web应用程序中的攻击辅助上下文(beplay体育能用吗幻灯片记录)是一个花了很多时间利用这些东西的人的异常清晰。高质量的解释和大量的案例研究,使这是一个优秀的,必须观看的演示新手和专家一样。

2 - 便携式数据Exfiltration:PDFS的XSS

每个人都知道如果将用户输入嵌入HTML而不进行编码会发生什么,而且近年来,人们还利用服务器使用HTML呈现用户上传的pdf。然而,由于PDF的可怕标记,直到现在还没有人公开研究过当用户输入嵌入到PDF中会发生什么。在便携式数据漏出加雷思嘿处理格式和扩展PDF解析器,从PDF链接注入到文档盗窃,JavaScript执行和SSRF。

不用说,我自己没有投票给这个,因为利益冲突

1 - H2C走私:请求通过HTTP / 2清除文本窃取

鉴于没有浏览器支持它,您几乎可以忘记HTTP / 2 ClearText(H2C)存在,直到杰克•米勒公布了H2C走私。这是一种全新的技术,它滥用H2C-unware前端来创建通往后端系统的隧道,使攻击者能够绕过前端重写规则,利用内部HTTP头。

它在概念上类似于前一年的beplay体育能用吗WebSocket走私但看起来更实用。请求挖掘隧道是一个新兴的艺术,所以这可能是一个缓慢的燃烧,但我们预计一些严重的屠杀在未来。

最终,这项研究证明,就像Gopher一样,这个已经过时的协议是给攻击者的礼物。热烈祝贺杰克·米勒和毕晓普·福克斯获得当之无愧的获奖者!

结论

如此,这个十大列表只是划伤了表面,我们推荐网络安全性爱好者阅读beplay体育能用吗整个提名名单

我们很期待看到今年社区分享的东西!如果你在研究报告发布的时候就有兴趣阅读,你可能会想去看看@beplay官网可以赌PortSwiggerResR beplay体育能用吗/ WebSecurityResearch.,这两个网站的创建都是为了促进和管理高质量的网络研究。beplay体育能用吗如果你想自己做一些研究,我们有一些关于成为一个网络安全研究员的建议beplay体育能用吗。此外,您可能需要查看去年的最佳数量:2019年2018年2017年2015年2014年2013年2012年2011年2010年2009年2008年2007年2006年

我们不得不慷慨地归功于整个社区 - 没有你的研究,提名和投票,这是不可能的。

到明年!

——通过詹姆斯水壶,并从NicolasGrégoire.Soroush Dalilifiledescriptor.

回到所有文章

相关研究