发布:2022年2月9日在13:59 UTC
更新:2022年2月10日在15:20 UTC
欢迎来到2021年的前十名(新)网络黑客入侵技术,这是我beplay体育能用吗们的最新迭代年度社区驱动的努力确定去年发布的最重要的网络安全研究。beplay体育能用吗
自1月份开始甄选过程以来,Infosec社区提名了40篇研究论文,然后投票通过他们的最爱,将名单缩小到15个最后一轮候选人。最后,由我自己和著名研究人员组成的专家小组尼古拉斯·格雷戈尔,,,,Soroush Dalili, 和备案者已经对15名决赛入围者进行了投票,以创建正式的前10名。像往常一样,我们并没有排除Portswigger研究,但小组成员无法投票支持他们所关联的任何事情。beplay官网可以赌
坦率地说,今年的研究质量非常出色 - 自2015年参与其中以来,这是我见过的最强大的一年。这导致了前十名的激烈竞争,并且众多高标准的研究论文错过了。我通常会说出一些我最喜欢的亚军完整的提名列表。非常感谢所有为这一研究做出贡献的人!
今年的一个特定主题主导。在提名和决赛前十名中,我们看到了重点HTTP请求走私,并攻击对解析器的不一致。随着系统变得越来越复杂和连接,这些威胁会膨胀。当HTTP/1.1使用最终在几十年的时间内开始减少时,解析器战场的变化会很有趣。
让我们开始倒计时!
有了一个古老的主题,例如XSS,很容易想到您已经知道了这一切,并且可以轻松地否认新的研究。宝石喜欢通过嵌套解析器为XSS模糊证明这有多么风险。在这个无蓬松的帖子中,Psych0tr1a显示如何通过镜面结果将堆叠的HTML消毒规则相互针对。令人印象深刻的案例研究和一种清晰,实用的方法论,这是一项顶级研究。
在2021年初,人们认为HTTP/2在很大程度上没有预时攻击和轻微的DOS问题的问题。埃米尔·勒纳(Emil Lerner)'HTTP通过更高的HTTP版本走私使用自定义工具和创新技术破坏了这个神话,以揭示HTTP/2中的许多孔,即HTTP/1.1转换。幻灯片甲板上充满了新颖的攻击,如果您精通俄语,请务必查看演讲也。埃米尔(Emil)也写了一些HTTP/3上的新发现恐怖自从。
脆弱性可能是普遍的,宽容的和高影响力的,但是如果没人知道如何检测到它,那就很容易成为……将您的想法重新集中在更有利可图的事物上。CL.CL的要求走私已悄悄地潜伏在这个利基市场中了一段时间。
在实用的HTTP标题走私,,,,丹尼尔·撒切尔(Daniel Thatcher)隔离http请求的核心组成部分走私,并优雅地将其归纳为一种策略,使得可以识别cl.cl脆弱性和通用的隐藏头部攻击,所有这些都集成到参数矿工。如果您对这种方法的价值有多大疑问,他用针对AWS的多个案例研究来说明了这一点。将来您会听到有关此技术的更多信息。
长期以来,JSON以有点古怪而闻名,但在很大程度上躲避了影响XML解析的漏洞。但是,无论哪种格式,如果您要两次解析东西,事情就会出错。
JSON互操作性漏洞经过杰克·米勒深入了解如何触发JSON解析器的不一致,以及这些通常无害的怪癖可以被利用的地方。捆绑的基于Docker的实验室使这些易于复制和实践。
案例研究进行或打破研究,以及缓存中毒让他们陷入困境。Youstin证明beplay体育能用吗网络缓存中毒仍然是地方性的,仍然被广泛忽视。DOS漏洞经常被研究人员拒绝,但是Web缓存中毒提供的持久,单要求的撤销者显然受到许多公司的认真对待。beplay体育能用吗这也是对与秘密标头和错误配置构成严重脆弱性的无关紧要的微小不一致的艺术的扎实证明。
黑客通常专注于直接可见或在侦察过程中发现的端点。在隐藏的Oauth攻击向量, 我们自己的迈克尔·史蒂芬(Michael Stepankin)采取另一种方法,深入探索Oauth和OpenID揭示隐藏终点和设计缺陷的规格,这些缺陷为枚举,会议中毒和SSRF。迈克尔还更新了Activescan ++和Burp的Discovery Wordlists,以保持自动化的注意,并确保该攻击表面不会被忽视。
由档案记录者描述为“可以说是一个弱者类别,因为它偶尔被剥削”,原型污染严格来说是对爱好者的技术,直到一个使互联网无污染的故事 - 利用野外客户端原型污染登陆。
这项惊人的研究定义了一种清晰,有见地的方法,用于实践识别和剥削。这对于全明星阵容也很引人注目s1r1us- 用索鲁斯的话“感觉就像看复仇者联盟!”
橙色泰连续第五年返回前十名,三部分系列MS Exchange上的新攻击表面。尽管大多数研究都集中于揭示众多网站上常见的脆弱性类别,但这项工作令人惊讶地深入研究了一个目标,并带有灾难性的结果。beplay体育能用吗
整个面板都喜欢这个条目,将其描述为“ Exchange的建筑和攻击地面的完美介绍,具有可靠的利用和巨大的影响”, 一个“如果您想开始认真的研究,请阅读启发阅读”,a“蠕虫罐”那“改变了许多人看着这个受欢迎的邮件解决方案的方式,并提醒我们,即使您坚持不懈并注意所有细节,也可以轻松破坏外观的应用程序。”。
我自己的九个月http/2:续集总是更糟上面与埃米尔(Emil)的作品进行了讨论,这使它比原本应该更加“有趣”,但是一些最后一刻的突破挽救了一天。这是其他小组成员不得不说的:“有没有想过在二进制和ASCII协议之间转换时会出问题吗?”“这项研究具有读者所需的一切。除了实际的研究和结果外,质量写入,工具和演示文稿都非常特别。”“这是关于HTTP2如何极大地提高整个情况的一项很好的研究。由于HTTP2的使用仍在采用,因此在永无止境的HTTP(下降)升级的帮助下,请求走私将更加相关。”
如果您喜欢此演示文稿,我强烈建议您查看有关HTTP请求在完整提名列表中走私的其他高质量研究论文 - 只需CTRL+FMUGGLING!
一些最好的研究具有优雅的简单性,使事后看来看起来很明显。在依赖混乱,,,,亚历克斯·伯桑(Alex Birsan)揭示影响主要包装管理人员的关键设计和配置缺陷,利用包装名称歧义以实现众多主要公司的RCE,并赚取了超过10万美元的赏金。除了疯狂的影响之外,它还可以很好地解释,使读者整个研究旅程。
这次攻击仍在进行讨论和缓解,我们真的很好奇地看到这一研究途径下一步。攻击是如此优雅,无法改善吗?还是这只是一个持续的新攻击课的谦虚开始?我们所知道的是,如果您今年只阅读一项研究,就应该使其依赖混乱。恭喜亚历克斯(Alex)应得的胜利!
2021年对于网络安全研究来说是一个非常好的一年。beplay体育能用吗
与今年相比,前十名列表比以往任何时候都刮擦了表面,我们建议网络安全爱好者阅读整个beplay体育能用吗提名列表。过去一年的前10名也值得一看!您还可以通过关注来发布今年的顶级研究R/beplay体育能用吗WebScurityResearch和@beplay官网可以赌portswiggerres。另外,如果您自己有兴趣自己进行此类研究,我为您写了一些建议。另外,在我们总结之前,我应该荣誉提及仅被称为“ F12”的反复提名,热门的黑客入侵技术。可悲的是,这并没有晋级。
再次感谢所有参加的人!没有您的提名,投票和最重要的研究,这将是不可能的。
直到下一次!
