这两个视频提供了关于如何通过阅读文档和模糊测试来发现DOM解析错误的详细介绍 , 并且还提供了一个难得的机会来了解这一伟大发现背后的创造性 。
4.为实现未授权RCE而使用的元编程Orange Tsai展示了在Jenkins中的无需身份验证的RCE , 发表了两篇相关文章 。身份验证绕过的确不错 , 但是我们最喜欢的创新是使用元编程来创建一个在编译时执行的后门 , 这将面对大量的系统环境的约束 , 我们期待在未来再次看到元编程 。
这也是一个很好的深入研究的例子 , 因为这个漏洞后来被多个研究人员进行了改进 。
3.通过SSRF控制网络Ben Sadeghipour和Cody Brocious的这个研究首先概述了现有的SSRF技术 , 展示了如何将它们应用到服务器端的PDF生成器中 , 然后再将DNS重新绑定引入其中 。
针对PDF生成器的研究既需要深厚的知识又很容易被忽略 。我们首次看到服务器端浏览器上的DNS重新绑定出现在2018年的提名名单上 , 而HTTPRebind的发布应该有助于使这种攻击顺利进行 。
最后 , 我认为这也许能说服Amazon更好地保护其EC2元数据端点 。
2.跨站泄露跨站泄漏已经存在了很长时间 , 早在十多年前就有记录 , 并在去年悄悄进入我们的前十名 。直到2019年 , 这种类型的攻击才开始爆发 , 数量大幅上涨 。
很难在这么大的范围内选出贡献者 , 但我们显然要感谢Eduardo Vela用一种新技术简明地介绍了这个概念 , 并通过合作努力建立了一个公共的XS-Leak vectors列表 , 研究人员最终也通过跨站泄漏技术取得了很大的成果 。
由于在浏览器XSS过滤器的死亡中扮演了主要角色 , 跨站泄漏已经对Web安全领域产生了深远的影响 。模块化XSS过滤是造成跨站泄漏的主要原因 , 这与过滤模式中更糟糕的问题相结合 , 导致Edge和后来的Chrome都放弃了他们的XSS过滤器 , 这对网络安全研究人员来说是一个胜利 , 也可能是一个灾难 。
1.缓存和混淆:Web缓存欺骗在这篇学术白皮书中 , Sajjad Arshad等人采用了Omer Gil的网络缓存欺骗技术(早在2017年就在我们的前10名榜单中排名第二) , 并针对Alexa排名前5000的网站分享了对网络缓存欺骗的整体探索 。
出于法律上的原因 , 大多数对攻击性技术的研究是在专业安全审计期间或在有漏洞程序的网站上进行的 , 但是通过更谨慎的步骤 , 这项研究可帮你更广泛地了解全球网络安全的状态 。通过精心设计的方法 , 他们证明了Web缓存欺骗仍然是一种普遍存在的威胁 。
除了技术方法 , 另一个关键的创新是引入了五种新的路径混淆技术 , 扩大了攻击面 。而在记录Web缓存程序的缓存行为方面 , 它们也比程序本身做得更好 。总的来说 , 这是社区将已有研究转向新方向的一个极好的例子 , 也是当之无愧的第一名!
结论今年我们看到了一组特别强劲的提名 , 很多优秀的研究最终没有进入前十 。我建议可以查看完整的提名名单 。
年复一年 , 我们看到了来自他人的伟大研究 , 所以我们要感谢每一个发表他们研究成果的人 , 无论他们是否被提名 。最后 , 我们要感谢社会各界的积极参与 , 没有你们的提名和投票 , 这一切都是不可能的 。
明年再见!
【2019年十大网络黑客技术】
推荐阅读
- 中国螃蟹种类 十大螃蟹排名
- 十大名茶排名,安徽十大名茶顺序排名
- 两种网络地址段,如何设置内网和外网一起上?
- 网络安全工程师学习路线汇总
- 2020年防水材料十大品牌排行
- 亚马逊雨林十大恐怖动物 亚马逊雨林有多恐怖
- 全国茶叶排名,十大茶叶店加盟品牌排名
- 全国十大名茶,红茶有什么作用
- 信阳毛尖十大名牌,都匀毛尖和信阳毛尖哪个好喝
- 2020十大防水材料品牌排名