作者 | James Kettle
译者 | Aaron
泉源 | https://portswigger.net/research/top-10-web-hacking-techniques-of-2019

“   通过社区投票将51个提名削减到15个决赛入围者之后，由NicolasGrégoire，Soroush Dalili，Filedescriptor和我本人组成的专家小组授予，投票并选择了2019年的十大新的网络黑客手艺。 ”

每年，专业研究职员，经验丰富的测试者，赏金猎人和学者公布大量博客文章，演示文稿，视频和白皮书。无论他们是建议新的攻击手艺，重新夹杂旧的手艺照样纪录发现，这些手艺中许多都包罗可以在其他地方应用的新颖头脑。

然则，在现在这些带有徽标和营销团队的破绽不断涌现的时代，创新手艺和创意很容易被噪声所遗漏，这仅仅是由于它们的声音不够大。因此，我们每年都会与社区互助，寻找并奉献十种我们以为经得起时间磨练的手艺。

我们以为这十项是去年公布的最具创新性的Web平安性研究的要害。每个条目都包罗有理想的研究职员，测试职员，破绽赏金猎人以及对Web平安的最新生长感兴趣的其他人的看法。

社区最受迎接的-HTTP异步攻击

社区投票最多的条目是HTTP异步攻击，在该条目中，我恢复了人们长期以来遗忘的HTTP请求走私手艺，从而获得了跨越9万美米的错误赏金，两次入侵PayPal的登录页面，并启动了一系列调查结果为更普遍的社区。我以为这是迄今为止我最好的研究，然则我做出了战术决议，将其清扫在官方的前十名之外，由于我不能能写一篇文章来宣布我自己的研究是最好的。

10.行使Null Byte缓冲区溢出获得$40,000的赏金

排名第十的是Sam Curry和他的朋友们，我们有一个令人心碎的平安破绽 影象 。 这一要害但容易被忽视的破绽险些肯定会影响到其他网站，并提醒我们，纵然你是一个专家，仍然有一个地方可以仅仅举行模糊测试并注意任何意外情形。

9.Microsoft Edge（Chromium）-EoP到潜在的RCE

在这篇文章中，Abdulrhman Alqabandi使用web和二进制攻击的夹杂体，对任何使用微软新的Chromium-Powered Edge（又名Edgium）接见其网站的人举行攻击。

现已提供40,000美米的赏金，现在已举行了修补，但这仍然是破绽行使链的一个很好的例子，该破绽行使链连系了多个低严重度破绽以实现要害影响，还很好地展示了网络破绽若何通过特权泉源渗透到您的桌面上。 它启发了我们更多的可攻击性，以通过扫描chrome工具来检测它何时位于特权泉源上。

要进一步领会浏览器战场中的网络破绽杂乱情形，请查看Firefox中的远程代码执行（内存损坏除外）。

8.像NSA一样渗透企业内部网： 领先的SSL VPN的预认证RCE

现任得奖者Orange Tsai与Meh Chang一起首次露面，并揭露了在SSL VPN中泛起了多个未经身份验证的RCE 破绽。

VPN在互联网上享有的特权职位意味着，就纯粹的影响力而言，这是最好的选择。 只管所使用的手艺在很大程度上是经典手艺，但它们使用了一些创造性的技巧。 这项研究有助于引发针对SSL VPN的审核浪潮，从而得出了许多发现，包罗上周公布的一系列SonicWall破绽。

7.探索CI服务作为破绽赏金猎人

现代网站是由众多依赖相互识别的服务拼集而成的， 当这些破绽泄露时，信托之网就会瓦解。 连续集成存储库/日志中泄露的秘密很常见，而通过自动化查找它们的机率甚至更高。

然而，EdOverflow等人的这项研究系统地为被忽视的案例和潜在的未来研究领域提供了新的思绪。 这也很可能是热闹的站点/工具SSHGit的灵感泉源。

6.来自.NET附带的XSS

关注新颖的研究是我事情的焦点部门，然则当这篇文章首次公布时，我仍然完全错过了这篇文章。 幸运的是，社区中的某人拥有更敏锐的眼睛并获得提名。

PawełHałdrzyński 继续了.NET框架的鲜为人知的旧功效，并展示了若何使用它来向随便端点上的URL路径添加随便内容，当我们意识到甚至我们自己的网站都支持它时，我们感应有些恐慌。

这让人联想到“相对路径笼罩”攻击，这是一个可能会触发破绽攻击链的秘密。 在该帖子中，它已用于XSS，但我们强烈嫌疑未来还会泛起其他滥用情形。

5.Google搜索XSS

Google搜索框可能是地球上经由最严酷测试的输入，因此Masato Kinugawa是若何做到XSS的，这是无法明白的，直到他通过与同事LiveOverflow的互助展现了破绽信息。

这两个视频提供了一个关于若何通过阅读文档和模糊化来发现DOM剖析错误的可靠先容，同时也罕见识展示了这一伟大破绽行使背后的创造力。

4.针对未经身份验证的RCE滥用米编程

Orange Tsai在两篇文章中举行了先容了Jenkins具有预认证的RCE。 在绕过身份验证是好的，但我们最喜欢的创新是使用米编程来确立一个后门，在编译时执行，在众多环境的约束。 我们希望未来会再次看到米编程。

这也是研究连续生长的一个很好的例子，由于厥后该破绽行使被多个研究职员所改善。

3.通过服务器端请求伪造来拥有影响力

该演讲由本Sadeghipour和Cody Brocious概述了现有的SSRF手艺，展示了若何将它们应用到服务器端的PDF生成器，然后将DNS重新绑定引入到组合中以获得优越的效果。

针对PDF生成器的事情是对功效类的深刻看法，而这些功效类太容易被忽略了。 我们第一次看到服务器端浏览器上的DNS重新绑定泛起在2018年提名列表中，而且HTTPRebind的公布应有助于使此攻击比以往更易于攻击。

最后，我对此可能是错的，然则我嫌疑这个演示文稿可能值得赞扬，由于它最终说服了亚马逊思量珍爱其EC2米数据终结点。

2.跨站泄露

跨站泄露已经连续了很长时间，最早在10年前就被纪录下来，并在去年跻身我们的前十名，直到2019年，人们才最先意识到这种攻击种别及其重大的疯狂变种。

云云规模的信用很难分摊，但我们显然要谢谢Eduardo Vela用一种新手艺简练地先容了这一观点，通力互助确立已知的XS-Leak向量的公然清单，以及研究职员将XS-Leak手艺应用的效果很好。

XS-Leaks已经对Web平安领域产生了持久影响，由于它们在浏览器XSS过滤器的消逝中发挥了重要作用。 块模式XSS过滤是XS-Leak向量的主要泉源，这与更糟糕的过滤模式问题相连系，以说服Edge和厥后的Chrome放弃过滤器，这是web平安的胜利，也是web平安研究职员的灾难一样。

1.缓存和疑心： 狂野中的Web缓存诱骗

在这篇学术白皮书中，Sajjad Arshad等人采用了Omer Gil的Web缓存诱骗手艺（该手艺在2017年我们的前10名中排名第二），并在Alexa Top 5000网站上共享了对Web缓存诱骗破绽的系统研究。

出于执法缘故原由，大多数攻击性平安研究是在专业审核时代或在有破绽赏金设计的网站上举行的，然则通过认真的道德操守，这项研究可以使您更普遍地领会网络上的平安状态。 借助精心设计的方式（可以轻松地适用于其他手艺），他们证明了Web缓存诱骗仍然是普遍存在的威胁。

除了方式论外，另一个要害创新是引入了五种新颖的路径混淆手艺，这些手艺扩大了易受攻击的网站的数目。 与许多提供程序自己相比，它们在纪录Web缓存提供程序的缓存行为方面也做得更好。 总体而言，这是社区将现有研究朝着新的偏向生长的极好例子，也是当之无愧的第一！

结论

年复一年，我们看到伟大的研究源于其他人的想法，因此，我们要谢谢所有花时间揭晓他们的发现的人，无论是否提名。