发布:2021年2月24日在15:02 UTC
更新:2021年2月26日在09:53 UTC
欢迎来到2020年的前十名(新颖)网络黑客入侵技术beplay体育能用吗年度社区驱动的努力确定上一年发布的必读网络安全研究。beplay体育能用吗
在过去的几周中,我们看到了社区提名54篇创新论文,帖子和演示文稿,然后进行投票,以将清单减少到15名潜在候选人。最后,一个由尼古拉斯·格雷戈尔,,,,Soroush Dalili,,,,备案者而且,我本人在15名决赛选手中投票,创造了官方的前十名。
自2019年以来,我们已经看到高质量研究的不可否认的增加,这使得社区投票的竞争力更高。许多可观的职位并没有成为最后15个;有些差点错过的包括秘密碎片,,,,AST注射,,,,没有任意JavaScript的XSS和我自己的beplay体育能用吗网络缓存纠缠在无数其他人中。
除了整体提高质量外,今年其他两个主题都脱颖而出。社区投票表现出对利用代理和多层架构的新颖攻击的浓厚兴趣。包括后续行动HTTP DESANC攻击以及一些令人兴奋的新技术,我们很快就会看到。我们还观察到,最好的攻击研究越来越低于应用层以下,无论是滥用TLS,编码分组,PDF内部或数据包碎片。
事不宜迟,让我们开始倒计时。
许多WAF逃避技术仅仅是理解和逃避Web应用程序防火墙的强大但广为人知的方法。beplay体育能用吗使这个脱颖而出的是什么PawełHałdrzyński光荣的低级畸形块技术。肯定还有更多的来源,它可能会产生影响,而不仅仅是绕过WAF ...
我们都喜欢一个良好的课程休息,但是良好的研究不仅仅是广泛适用的技术。攻击MS Exchange Web界面beplay体育能用吗经过Arseniy Sharoglazov震惊了整个面板,同时展示了您可以在一个目标上实现的极端深度。如果您遇到这项技术,它将是无价的,并且为将来的研究奠定了广泛的基础。
在这篇文章中亚历克斯目标臭名昭著的想象图书馆,将其巨大的功能扭曲以创建一个多语言,该多声明在某种恶意的错误报告的帮助下得到了RCE。
研究发现过程经常被掩盖并有可能对局外人有些神奇的风险,但是亚历克斯(Alex想要外壳。
说到研究旅行,这是Top-10频繁的新型帖子橙色泰展示工作中的大师。MobileIron MDM上未经身份验证的RCE跟随他的旅程,当他选择目标并连接多个研究级技术时,他追求了贝壳。没有什么比案例研究那样利用了一个知名目标来证明研究不仅仅是理论上的研究,而奥兰治则通过在Facebook上降落RCE来提供一种风格。像往常一样,很棒的工作。
在标题名称中使用下划线已经潜伏在社区意识的边缘已经有很多年了 - 例如,它已经实施了参数矿工- 很高兴看到罗宾·弗顿(Robin Verton)通过案例研究显示关键影响,将其拖入光线!更好的是,他使用它来破解SSL客户端身份验证,这远非柔软的目标。
小组讨论是否有些矛盾nat滑动有资格成为一种网络黑客技术,但beplay体育能用吗我们对研究质量毫无疑问。
萨米·坎卡(Samy Kamkar)使用IP碎片欺骗路由器将浏览器发出的HTTP请求的一部分解释为SIP数据包并打开受害者的NAT。这种跨层次的跨学科攻击很好地证明了对基本协议和相邻领域的熟悉程度。
SSRF通常会产生关键的影响,但是如果没有方便的Web服务可以使用它,它可能会令人沮丧地无害。beplay体育能用吗当TLS入侵您时是SNI注射启发的技术约书亚·马杜克斯(Joshua Maddux)它优雅地结合了DNS重新启动和TLS会话恢复,以利用不说HTTP的内部服务。正如提起的,他带了Gopher://回来!
对于任何遇到SSRF的人来说,这都是必不可少的阅读,我们希望将来看到这种技术出现在漏洞图中。
现代网站是一个beplay体育能用吗高度纠缠的代理,负载平衡器和微服务。我们已经看到了很多路径遍历攻击利用这一混乱。什么山姆·库里(Sam Curry)带来Web应用程序中攻击的次要上下文(beplay体育能用吗幻灯片,,,,记录)是花费大量时间利用这些东西的人的出色清晰度。解释和众多案例研究的质量使得这是新手和专家的出色,必看的演讲。
每个人都知道,如果您在没有编码的情况下将用户输入嵌入了HTML中会发生什么,近年来,人们还利用了使用HTML渲染用户使用的PDF的服务器。但是,由于PDF令人恐惧的标记,没有人公开探索当用户输入嵌入PDF中时会发生什么。在便携式数据剥落,,,,加雷斯·海斯(Gareth Heyes)解决格式并拉伸PDF解析器,从PDF链接注入到记录盗用,JavaScript执行和SSRF。
不用说,我没有自己投票利益冲突。
鉴于没有浏览器支持它,您几乎可以忘记HTTP/2 ClearText(H2C)存在,直到杰克·米勒公开H2C走私。这是一项全新技术,它滥用H2C-Unware前端来创建一个隧道来后端系统,从而使攻击者能够绕过前端重写规则并利用内部HTTP标头。
在概念上与上一年相似beplay体育能用吗Websocket走私但是看起来更加实用。请求隧道剥削是一种新兴的艺术,因此这可能是一种缓慢的燃烧,但我们预计将来会有一些严重的大屠杀。
最终,这项研究证明,就像Gopher一样,这项雄心勃勃的协议是给攻击者的礼物。非常恭喜杰克·米勒(Jake Miller)和福克斯主教(Bishop Fox)当之无愧的冠军!
与往常一样,这10名列表只是刮擦表面,我们建议网络安全爱好者阅读beplay体育能用吗整个提名列表。
我们期待看到社区股票今年的收入!如果您有兴趣阅读该研究的那一刻,您可能想检查一下@beplay官网可以赌portswiggerres和R/beplay体育能用吗WebScurityResearch这两者都是为了促进和策划优质的网络研究而创建的。beplay体育能用吗如果您想自己尝试一些研究,我们有一些有关成为网络安全研究人员的建议beplay体育能用吗。另外,您可能需要查看上一年的最高成绩:2019,,,,2018,,,,2017,,,,2015,,,,2014,,,,2013,,,,2012,,,,2011,,,,2010年,,,,2009,,,,2008,,,,2007,,,,2006。
我们要感谢整个社区的大规模总结 - 没有您的研究,提名和投票是不可能的。
直到明年!
- 经过詹姆斯·凯特尔(James Kettle),带有来自尼古拉斯·格雷戈尔,,,,Soroush Dalili和备案者。
