2017年十大Web黑客技術榜單

近期，由安全公司 Portswigger 發起的「2017年十大Web黑客技術」評選結果出爐了！經過一開始初選的37個技術議題提名，到後來白帽社區投票的15個入圍技術議題，最後，經專家評審委員會評選，又甄選出了最終的 TOP 10 榜單！（PS：經評委會提請，其中包含了一個2016年的技術議題）

需要說明的是，專家評審委員會包括了 Portswigger 技術總監 James Kettle、資深 Web 安全研究者 Gareth Heyes 和 Nicolas Grégoire、頂尖 Web 漏洞挖掘白帽 Frans Rosén 以及 NCCGroup 技術顧問 Soroush Dalili。

此次評選活動的目的在於，在安全社區中宣傳這些技術，讓行業提高對安全的重視，同時也能讓這些技術能受到認可和銘記。因此，基於創新性、傳播性、影響力以及持久性的綜合考慮，我們在15個入圍議題中進行了優中選優，評選出了最終 Top 10 結果，這其中，我們評審委員會一致認為前三名的議題非常值得大家拜讀。

為了排除利益衝突，我們採取了廣泛的社區投票方式，並且評審小組專家不得投票給自身參與的研究議題，最終評選結果如下

（關於每項技術的詳細介紹，請「閱讀原文」跳轉鏈接查看）

1. 台灣 Web 安全研究者 Orange Tsai - A New Era of SSRF

Orange Tsai 在該議題中繞過 SSRF 防禦的創造性研究，揭開了 SSRF 漏洞利用藝術的冰山一角。這種技術最大限度發揮了隱患影響，被熟悉 SSRF 的安全專家 Agarri 描述為「極具影響力和創新性」的漏洞利用，非常值得反覆體會。

其中涉及了多個漏洞的串連使用，可能算是目前最好的 Web 漏洞利用鏈構造了，所以該議題是實至名歸的第一名。

2. Web 緩存欺騙攻擊技術 - Web Cache Deception

用惡意內容毒化 Web 緩存的技術已經流行多年，但 Omer Gil 卻創新地顛覆了該技術的利用方式，他通過控制 Web 緩存可以保存其它用戶的敏感數據，並成功在 Paypal 中實現了攻擊復現。從 Omer Gil 的演講和報告中可以看到，Web 緩存欺騙是一項厲害且有想像力的技術，這種技術可以在多種主要的緩存機制中利用實現，為未來的深入研究提供了一個很好的基礎平台。

隨著應用程序安全性的不斷成熟，尋找真正的新技術變得越來越難，所以在不斷的演化過程中，能看到這種可證實的安全隱患，非常令人耳目一新。

3. 票據欺騙 - Ticket Trick

利用企業的問題跟蹤系統（ issue tracker）和支持幫助中心（support center/helpdesk），結合以公司域名為後綴的構造郵箱地址，優秀的 Web 漏洞挖掘大牛 Inti De Ceukelaire 能繞過驗證機制，成功入侵目標企業網路。這是一個關於安全的一個典型例子，一些獨立系統在隔離情況下確實能夠保證安全，但各個系統之間進行綜合應用，就會發生崩潰或漏洞，這也會是未來幾年將會陸續出現的安全問題。

4. Friday the 13th: JSON Attacks

繼2016年的 Java 反序列化災難之後，HPE 安全研究者 Alvaro munioz & oleksand Mirosh 對 Java 和 .NET 的大量 JSON 序列化庫進行了全面分析，為相關的 RCE 漏洞安全研究提供了可參考的內容。

5. 雲出血 - Cloudbleed

谷歌安全研究者 Tavis Ormandy 違背了通常的研究規律，偶然地發現了這一不同尋常的漏洞隱患。該隱患技術中，一開始受影響的廠商只有 Cloudflare 一家，但卻造成了 CloudFlare 客戶如 Uber、OK Cupid、Fitbit 等互聯網公司的用戶密鑰和敏感信息泄露，影響巨大，讓人記憶猶新。除了 Tavis Ormandy 的技術分析報告之外，Cloudflare 的 事後分析聲明也值得閱讀，正如 Taviso 警告的那樣，它「嚴重低估了對客戶造成的影響風險」。

6. 高級 Flash 漏洞利用系列 - Advanced Flash Vulnerabilities

這是由 Opnsec 研究員 Enguerran Gillier 發現並在 YouTube 上演示的一系列 Flash 漏洞利用技術，Enguerran 將許多通常被忽視的技術進行了藝術性地結合利用，並詳細地解釋在其博客文章中。

7. AWS S3 存儲桶的訪問控制分析 - A deep dive into AWS S3 access controls

頂尖 Web 白帽 Frans Rosén 從攻防角度對 AWS 的 S3 存儲桶內部機制進行了分析研究，研究中發現了 S3 存儲桶的一些常見缺陷，以及像 『AuthenticatedUsers』 的類似編程錯誤。美國無線通信公司 Verizon 的大規模數據泄露事件中，攻擊者利用的就是 S3 存儲桶的訪問控制缺陷實施攻擊的。

8. 利用 HTTP 請求編碼繞過 WAF - Request Encoding to bypass web application firewalls

NCCGroup 技術研究員 Soroush Dalili 通過構造編碼和惡意 HTTP 請求對 WAF 開展了大量有效的繞過試驗，我們可以從其發表的博客和報告中來一睹究竟。

9. 瀏覽器安全白皮書 - Cure53 - Browser Security Whitepaper

Cure53 的研究員通過深入分析，對 IE、Edge 和 Chrome 瀏覽器的安全機制進行了全方位總結和介紹，其中第3和第5章節中涉及了一些精彩的 web 安全知識。

10. 利用 PHP7 的 OPcache 執行 PHP 代碼 - Binary Webshell Through OPcache in PHP 7

在2016年，加拿大拉瓦爾大學學生 Ian Bouchard 發現了一種新技術，可以在運行有 PHP7 的系統中，利用文件寫入漏洞繞過安全機制並成功實現 RCE 漏洞。

其它議題

其它未當選的入圍議題也值得提及，尤其是 X41 Browser Security whitepaper 也是一個乾貨，但在 web 研究方面稍微還欠缺一些東西。$10k host header 非常讓人眼前一亮，但相對於新的研究來說，它更偏向於對已知漏洞的綜合利用。 Hiding Wookies in HTTP 也很不錯，但很遺憾，在提名階段它就沒被社區投票入選。而 Dont Trust The DOM 在入圍階段得分很高，但卻沒挺過最終的評審投票。

今年的評選活動帶點實驗性質，但也進展順利，我們會對評選流程進行多種調整和改進。在明年，我們會開發一個定製化的投票平台，消除一些可疑投票情況，更加便利公平地實現評選。

*參考來源：portswigger，clouds編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！