2019 年的十大 Web 黑客技术社区投票结果出炉

结果终于出来了！

经过社区投票，在 51项提名中最终筛选出15个入围者，一个由 Nicolas Grégoire， Soroush Dalili， Filedescriptor，和我组成的专家小组进行了协商，投票，并选出了2019年十大 Web 黑客新技术。

每年，专业研究人员、经验丰富的渗透测试人员、漏洞赏金猎人和学者都会发布大量的博客文章、演讲、视频和白皮书。 不管他们是建议采用新的攻击技术，还是将旧的技术重新混合，或是记录发现，其中的许多内容都包含了可以应用到其他地方的新颖想法。

然而，在这些带有 logo 和营销团队的漏洞到来的日子里，创新的技术和想法很容易在噪音中被忽略，仅仅是因为他们没有得到足够地传播。 这就是为什么每年，我们都与社区合作，寻找并铭记十种我们认为经得起时间考验的技术。

我们认为这十个是去年发表的最具创新性的 Web 安全研究中的佼佼者。 每一个都包含了有抱负的研究人员、渗透测试人员、漏洞赏金猎人以及任何对网络安全最新发展所感兴趣的人的见解。

社区最爱-HTTP Desync 攻击

社区投票最多的是 HTTP Desync 攻击，我重新启用了早已被遗忘的 HTTP 请求走私技术（HTTP Request Smuggling）获得了超过9万美元的漏洞赏金，两次侵入 PayPal 的登录页面，并为更广泛的社区开启了一波调查发现的浪潮。 我认为这是我迄今为止最好的研究，但是我做了一个战术性的决定，把它排除在官方的前10名之外，因为我不可能写一篇文章宣称我自己的研究是最好的。;)逃…

10. 利用空字节缓冲区溢出漏洞获得4万刀赏金

排在第10位的是Sam Curry和他的朋友们，他们用了一种神奇的内存安全漏洞利用。 这个关键但容易被忽视的漏洞几乎肯定会影响到其他网站，并且这个漏洞提醒我们，即使你是一个专家，仍然有一个地方可以简单地模糊测试并密切关注任何意想不到的事情。

9. 微软 Edge (Chromium)浏览器 - EoP 到潜在的 RCE

在本文中， Abdulrhman Alqabandi 混合使用了 web 和二进制攻击技术，对任何使用微软新开发的 Chromium-Powered Edge (又名 Edgium)浏览器错误的访问了他的网站的用户进行恶意攻击。

拿到4万刀的赏金后，这个漏洞已经发布了修复补丁，但它仍然是一个优秀的攻击链案例，结合多个低危程度的漏洞最终造成一个严重的影响，同时也华丽丽的演示了 Web 漏洞是如何通过特权的源渗透到你的桌面。这个漏洞启发我们更新黑客能力，通过扫描 chrome 对象来检测对象何时处于特权源。

要了解 Chrome 浏览器战场上的 web 漏洞，请查看超越内存破坏的 Firefox 远程代码执行。

8. 像 NSA 那样渗透企业内网: 领先的 SSL VPN 中的预授权 RCE

现任获胜者 Orange Tsai 首次与 Meh Chang 同台亮相，他在 SSL VPN 中发现了多个未经认证的 RCE 漏洞。

VPN 在互联网上的特权地位意味着，就纯粹的影响而言，这已经是最好的情况了。 虽然这些技巧在很大程度上都是经典之作，但是它们运用了一些创造性的转折点，我在这里就不再赘述了。 这项研究引发了一波针对 SSL VPN 的审计浪潮，导致许多新的发现，包括上周公布的一系列 SonicWall 漏洞。

7. 像漏洞赏金猎人一样探索 CI 服务

现在这个时代的网站是由众多依靠秘密来彼此识别的服务组合而成的。 一旦这些信息泄露出去，信任的网络就会崩溃。 持续集成存储库或日志中的秘密泄漏是一种常见现象，通过自动化查找它们更为常见。 然而，EdOverflow 等人的这项研究系统地揭示了被忽视的案例和潜在的未来研究领域。 这也很可能是 SSHGit 工具的灵感来源。

6. .NET 中的 XSS

监控新奇的研究是我工作的核心部分，但是当这篇文章第一次发布的时候，我仍然十分完美的错过了这个漏洞。 幸运的是，社区里有人眼光敏锐，提名了这个漏洞。

Paweł Hałdrzyński 研究了 .Net 框架中鲜为人知的遗留特性，并展示了如何使用这个特性在任意端点上向 URL 路径添加任意内容，当我们意识到甚至我们自己的网站也可以复现这个漏洞时，我们也会有一些轻微的恐慌。

这不禁让人想起相对路径覆盖攻击，这是一个在某些情况下可以启动一个漏洞利用链的奥秘。 在这篇文章中，这个漏洞被用于 XSS，但是我们强烈怀疑将来会出现其他的滥用方式。

5. Google 搜索中的 XSS

谷歌搜索框可能是这个星球上被测试最多的输入框，所以 Masato Kinugawa 是如何设法在 Google 搜索中找到 XSS 的，这是难以理解的，直到他与同事 LiveOverflow 的合作才揭示了这一切。

这两个视频提供了关于如何通过阅读文档和模糊测试来发现 DOM 解析漏洞的详细介绍，同时也罕见地展示了这个伟大的 exp 背后的创造性。

4. 未经认证的 RCE 滥用元编程

Orange Tsai 在 Jenkins 中发现了一个预授权 RCE，他在两篇文章中对此漏洞有所描述。 绕过身份验证是不错，但我们最喜欢的创新是使用元编程创建一个在编译时执行的后门，这可以解决无数的环境限制问题。 我们期望在未来再次看到元编程。

这也是一个很好的值得继续深入研究例子，因为这个漏洞后来被多个研究人员改进了。

3. 通过服务器端请求伪造（SSRF）来获得影响力

Ben Sadeghipour 和 Cody Brocious 的这个演示文稿首先概述了现有的 SSRF 技术，展示了如何将这些技术适用于服务器端的 PDF 生成器，然后将 DNS 重新绑定引入其中。

针对 PDF 生成器的工作是对一个很容易被忽视的特性类的深刻见解。 我们第一次看到服务器端浏览器上的 DNS 重新绑定出现在2018年的提名列表中，而且 HTTPRebind 的发布应该有助于使这种攻击比以往任何时候都更容易被访问。

最后，关于这一点，我的想法可能是错的，但我怀疑这个演示可能值得赞扬，因为它最终说服了 Amazon 考虑保护其 EC2元数据端点。

2. 跨站点泄漏

跨站点泄漏已经持续了很长时间。 十多年前就首次有文档记录，去年进入了前十名，到了2019年，人们对这种攻击类型的认识以及这种攻击类型的变体数量疯狂的呈爆炸式增长。

很难在这么多的漏洞中分配投票权重，但我们但我们显然要感谢Eduardo Vela 用一种新颖的技术简洁地介绍了这个概念，感谢大家共同努力建立一个已知的 XS-Leak 向量的公开列表，感谢研究人员将 XS-Leak 技术应用到极大的效果。

XS-Leak 已经对 Web 安全领域产生了持久的影响，因为它们在 XSS 过滤器的消亡中扮演了重要角色。 块模式 XSS 过滤是 XS-Leak 向量的一个主要来源，这与过滤模式更糟糕的问题相结合后，导致 Edge 和后来的 Chrome 都放弃了他们的过滤器，这是 Web 安全的胜利，也是 Web 安全研究人员的灾难。

1. 缓存和混淆：Web 缓存欺骗攻击

在这份学术白皮书中， Sajjad Arshad 等人采用了 Omer Gil 的 Web 缓存欺骗 技术(该技术在2017年的前十名中排名第二) ，并分享了对 Alexa Top 5000 网站的 Web 缓存欺骗漏洞的系统性探索。

出于法律原因，大多数攻击性安全研究是在专业审计期间或在有漏洞赏金计划的网站上进行的，但是通过合乎道德的操作，这项研究提供了对更广泛的 Web 安全状况的一瞥。 在一种很容易适用于其他技术的精心设计的方法的帮助下，他们证明了 Web 缓存欺骗仍然是一个普遍的威胁。

除了方法之外，另一个关键的创新是引入了五种新的路径混淆技术，这些技术扩大了易受攻击网站的数量。 与许多提供商相比，它们在记录 Web 缓存提供商的缓存行为方面也做得更好。 总的来说，这是社区将现有研究带入新方向的一个极好的例子，也是当之无愧的第一名！

总结

今年我们看到了一组特别强劲的提名，所以许多优秀的研究没有进入前十名。 因此，我建议大家查看完整的提名名单。 对于那些对2020年的研究感兴趣的人，我们最近创建了 r/websecurityresearch subreddit 和@PortSwiggerRes 的推特账户，以促进那些值得注意的研究。 你也可以在这里找到去年的十大排行榜:

2018, 2017, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006。

年复一年，我们看到伟大的研究大多来自于建立在别人的想法之上，所以我们要感谢每一个花时间发表他们的研究成果的人，不管他们是否被提名。 最后，我们要感谢众多社区，感谢你们的热情参与。 没有你们的提名和投票，这是不可能的。