总结回望丨2018年十大Web黑客技术榜单
作者:admin | 时间:2019-3-18 23:08:50 | 分类:黑客技术 隐藏侧边栏展开侧边栏
2018年过去了,在这一年中,随着Web功能应用的越加广泛化,针对Web层面的攻击也越加多样化和精细化。最近,由Portswigger公司发起的“2018年十大WEB黑客技术”出炉了!在最初的59个提名技术议题中,由社区投票初选出了15个,之后,又经由James Kettle、Nicolas Grégoire、Soroush Dalili和Filedescriptor组成的评审组讨论之后,投票选出了最终十大最具创新性的WEB黑客技术。
评审组一致认为,这十大WEB黑客技术将能经受时间考验,并会在未来几年内引发出更多的攻击面。我们一起从第十名开始,来倒序梳理2018年的这TOP 10 WEB黑客技术。
十、用跨站搜索(XS-Search)在谷歌问题跟踪平台实现敏感信息获取
Luan Herrera的这篇漏洞writeup,非常直接地点题:跨站搜索(XS-Search),对,这种类似于边信道的攻击,通过向目标站点发送搜索请求,结合特定搜索功能,根据响应时间差异(XS-Timing),来消除不稳定的网络延迟,判断目标服务端隐私信息的准确性,间接绕过”同源策略“影响,是一种新型的Web攻击方式。在可搜索信息量较大,或目标服务端搜索功能多样化的场景下,是一种有效的信息获取手段。在未来,将会出现更多的XS-Search漏洞。
九、通过公式注入(Formula Injection)的数据渗漏
安全研究员Ajay和Balaji通过研究谷歌表格(Spreadsheet)和LibreOffice,发现了其中的一系列数据渗漏(Data Exfiltration)技术。这些技术手段可能没有排名靠前的技术议题亮眼,但却非常实用上手,对于验证此类型漏洞来说非常有用。
如果你想确切知道恶意电子表格与web安全的关系,你可以仔细查看其中的逗号分隔漏洞(Comma Separated Vulnerabilities)。当然,还有2018年首次被发现的服务端公式注入漏洞。
八、Prepare(): 一种新的WordPress漏洞利用方式
WordPress应用广泛,算是一个比较全面复杂的内容管理系统了,以至于对它的每个漏洞利用都能成为一门独立学问。安全研究员Robin Peraglie分享了他基于Slavco Mihajloski对PHP反序列化漏洞的分析,深入研究了WordPress中double prepared statements的漏洞利用。
七、利用本地DTD文件(文档类定义文件)实现XXE漏洞利用
对Blind XXE的漏洞利用,通常需要依赖于是否可以加载外部文件或攻击者托管文件,而且有时候,存在漏洞的服务端还会被防火墙把出站流量阻拦。如何在这种常规漏洞利用中创新方式方法呢?安全研究员Arseniy Sharoglazov分享了他自己非常有创意的一种XXE利用方法,那就是通过对本地DTD文件的利用去绕过防火墙的检测机制。
尽管这种漏洞利用方法仅对某几种特定的XML解析器和配置方式有效,但一旦攻击成功,其威胁影响远超一般的DoS,可以形成对目标服务器的完全控制。而且,在Twitter上,网友还对这种方法做出一种更灵活的改进。
六、一种PHP反序列化漏洞:利用phar协议结构扩展PHP反序列化漏洞攻击面
此前可能小范围的圈子知道,利用形如phar://的PHP流的封装器,对一些如file_exists()看似无害的声音操作行为进行滥用,可以触发反序列化漏洞或实现远程代码执行(RCE)。在Sam Thomas的分享中,他以实际问题和包括WordPress在内的多个漏洞测试用例入手,进行了充分的研究印证。
五、对“现代”Web技术的一种攻击方式
Web大神Frans Rosen通过一系列牛叉的研究表明,不管禁用与否,可以利用HTML5的应用缓存(AppCache)实现一系列奇妙的漏洞利用。他还在其中讨论了,利用客户端竞争条件发起的postMessage攻击。
四、NodeJS应用中的原型污染攻击
不影响PHP结构的某种特定编程语言漏洞非常厉害,Olivier Arteau在NorthSec会议上的分享就是这样的,他介绍了一种在NodeJS应用中,基于__proto__实现对目标服务器的远程代码执行攻击(RCE),这种攻击此前只适用于某些客户端应用中。作为测试来说,可以在Portswigger推出的Backslash Powered Scanner扫描插件中,通过添加__proto__ 作为规则来对目标网站进行暂时性的漏洞测试。
三、超越XSS:ESI标记语言注入(Edge Side Include Injection)
Edge Side Includes (ESI) 是一种标记语言,主要在常见的HTTP代理中使用。通过ESI注入技术可以导致服务端请求伪造(SSRF),绕过HTTPOnly cookie的跨站脚本攻击(XSS)以及服务端拒绝服务攻击。
延续了传统网络技术再次成为漏洞利用媒介的主题,Louis Dion-Marcil发现,很多流行的反向代理会被通过ESI注入方式,形成一些如SSRF的攻击。该高质量的技术议题研究揭示了很多极具威胁的漏洞利用场景,另外,其中通过JSON响应的HTML利用,表明其攻击威力远超XSS技术。
二、实战Web缓存投毒:重新定义 ‘Unexploitable’
在Portswigger技术总监James Kettle的发现分享中,他展示了如何基于隐藏的HTTP头,利用恶意内容对Web缓存进行毒化。评审组一致认为,该技术是一种 “在传统基础上出色而有深度的研究”、“原创性强且研究透彻”、“思路清晰又简洁实用”。
一、Breaking Parser Logic! Take Your Path Normalization Off and Pop 0days Out
这是台湾白帽Orange Tsai(蔡政达)在2018 Black Hat USA上的议题,他介绍了如何基于“不一致性”安全问题,综合利用4个功能性Bug,实现对亚马逊(Amazon)协同平台系统的远程代码执行。由于该议题技术会对当下流行的网站框架、独立服务器和反向代理类应用产生影响,考虑到其技术研究的良好实用性、强大威胁隐患和广泛影响范围,评审组一致推荐其为当之无愧的第一名。这是继2017之后,Orange Tsai又一次蝉联TOP 10榜首!牛!恭喜!
大家可以点此查看59项提名技术议题,也可参考2017年的TOP 10 Web黑客技术榜单。
*参考来源:Portswigger,clouds编译,转自FreeBuf