江苏龙网

  1. 主页 > 生活百科 > >

2019年十大网络黑客技术

黑客技术

转载:nosec 作者:iso60001

2019年十大网络黑客技术

文章插图
 
这是portswigger网站经过社区投票所选出2019年十大网络黑客技术 。先从51项提名选出15项 , 再通过一个由Nicolas Grégoire、Soroush Dalili、Filedesc riptor和James Kettle组成的专家小组进行了协商、投票最终并选出了2019年十大网络黑客技术 。
每一年 , 无数专业研究人员、经验丰富的渗透测试员、漏洞赏金猎人都会发布大量的博客、演讲、视频和技术白皮书 。无论是新发明的攻击技术、重新利用的旧技术 , 还是记录所有的安全发现 , 其中都包含着很多可以带来启发的新思想 。
不过 , 在带有明显标识和用于营销团队的漏洞层出不穷的日子里 , 新技术和新创意很容易被忽略 , 因为它们没有得到足够的传播 。这就是为什么我们每年都要与安全社区合作 , 寻找并铭记十项我们认为经得起时间考验的技术 。
我们认为以下十个是去年发表的最具创新性的网络安全研究的精华 。每个条目都包含着有抱负、有理想的研究人员、测试人员、漏洞赏金猎人对Web安全发展的最新个人见解 。
社区最爱——HTTP异步攻击以较大优势获得最多社区投票的安全研究是HTTP异步攻击 , 在这篇文章中 , 作者重新使用了被遗忘已久的HTTP Request Smuggling技术 , 两次破坏了PayPal的登录页面 , 获得了超过9万美元的漏洞赏金 , 并引发了广泛讨论和研究 。虽然投票很高 , 但我认为决定把它排除在10名之外 , 因为这是我自己写的 , 我实在无法把自己的文章排在第一 。
10.利用空字节缓冲区溢出获得40000美元赏金排在第10位的是Sam Curry和他的朋友们 , 他们公布了一种神奇的、心脏出血式内存安全攻击技术 。这个关键但容易被忽视的漏洞几乎肯定会影响其他网站 , 同时也提醒我们 , 即使你是一个安全专家 , 但仍需关注简单和任何意想不到的地方 。
9.微软Edge浏览器(Chromium)—EoP到RCE在这篇文章中 , Abdulrhman Alqabandi使用了一种混合了Web和二进制攻击的方法来惩罚那些使用微软最新Chrome Edge浏览器来访问他的网站的人 。
这个漏洞带来了40000美元的赏金 , 是一个通过多个低级漏洞实现严重攻击效果的完美示例 , 同时也演示了Web漏洞如何通过提权影响到你的桌面 。这也启发了我们去更新Hackability 。
想要了解其他浏览器的Web漏洞乱象 , 请查看Remote Code Execution in Firefox beyond memory corruptions 。
8.像NSA一样渗透企业内部网:SSL VPN的RCE这个安全项目的研究者Orange Tsai与Meh Chang是首次出现一起出现在该榜单 , 他在多个SSL VPN中均发现了无需身份验证的RCE漏洞 。
VPN所处的特殊的网络位置意味着其一旦出现漏洞 , 带来的影响是巨大的 。研究中虽然使用的大部分都是经典技术 , 但也涉及了一些创造性的技巧 , 我在这里并不打算剧透 。这个研究也催生了一波针对SSL VPN的审计 , 催生了大量的漏洞 , 包括上周公布的一系列SonicWall漏洞 。
7.探索CI服务现代的网站是由许多依靠secret来识别彼此的服务拼凑而成的 。一旦这些信息泄漏 , 彼此间的信任就会分崩离析 。而在持续集成存储库/日志中 , secret的泄漏是很常见的 , 你甚至可以通过自动化脚本找到它们 。而EdOverflow等人的这项研究系统地揭示了被忽视的安全案例和潜在的安全研究领域 。这也很可能是站点工具SSHGit的灵感来源 。
6.所有.net页面都有XSS监控新发布的安全研究是我工作的核心部分 , 但当这篇文章第一次发布时 , 我还是完美错过了它 。幸运的是 , 社区里有人拥有更敏锐的眼光 , 提名了它 。
Pawe? Ha?drzyński展示了鲜为人知的.net框架的旧特征 , 并表明它可以用来添加任意内容到任意端点上的URL路径中 。这甚至引起了我们的一些恐慌 。
这让人想起了相对路径覆盖攻击 , 这是一个有时可用来触发攻击链的奥义 。在这篇文章中 , 它被用于插入XSS , 但我们强烈怀疑将来会出现其他更具威胁的利用 。
5.谷歌搜索XSS谷歌搜索框可能是这个星球上被测试得最多的输入框 , 因此Masato Kinugawa和LiveOverflow是如何找从中出XSS漏洞吸引了所有人的目光 。


推荐阅读


上一篇:十大名茶排名,安徽十大名茶顺序排名

下一篇:如何通过DNS协议绕过目标防火墙?