2022年十大Web黑客技术盘点 | PortSwigger研究

2022年十大Web黑客技术盘点

作者：James Kettle

发布时间：2023年2月8日

更新日期：2023年2月16日

欢迎阅读第16期年度十大Web黑客技术盘点，这是由社区驱动的年度盛事，旨在评选过去一年发布的最重要、最具创新性的Web安全研究成果。今年我们收到了破纪录的46项提名，经过专家评审团（Nicolas Grégoire、Soroush Dalili、Filedescriptor和我本人）的严格评审，最终选出以下十大技术。

十大技术榜单

10. 利用Web3隐藏攻击面：Netlify Next.js库的通用XSS

Sam Curry和Shubham Shah通过组合XSS、SSRF和缓存投毒技术，成功攻破多个加密货币网站。这项研究揭示了静态网站背后可能存在的严重漏洞。

9. 实用的客户端路径遍历攻击

Medi发现了一种长期被忽视的漏洞类型——将用户输入直接拼接到请求路径中。这种技术已被用于CSRF攻击链，值得单独列为一种新型漏洞。

8. Java中的"通灵签名"

Neil Madden展示了如何利用数字0伪造ECDSA签名，这种简单却致命的攻击影响了JWT和SAML等核心Web技术，提醒我们有时最简单的攻击能造成最大破坏。

7. 全球Akamai边缘节点服务器端缓存投毒

Jacopo Tediosi利用HTTP逐跳报头理论实现了大规模缓存投毒攻击，同时揭露了漏洞奖励计划在处理高级攻击技术时面临的挑战。

6. 通过响应队列投毒使HTTP头注入成为致命威胁

作者深入研究了被遗忘已久的"响应拆分"技术，通过高回报案例展示了其实际危害。正如filedescriptor所言："代理服务器的异常行为似乎能带来无限的请求走私技术"。

5. 绕过.NET序列化绑定器

Markus Wulftange通过分析.NET文档变更，发现SerializationBinder无法保证安全性的根本原因，并以DevExpress和Microsoft Exchange为例构建了实际漏洞利用链。

4. 使用SAML入侵云环境

Felix Wilhelm展示了SAML协议令人震惊的广阔攻击面，包括一个利用整数截断漏洞在Java签名验证时执行任意字节码的XML文档。

3. Zimbra邮箱 - 通过Memcache注入窃取明文凭证

Simon Scannell实现了应用层缓存注入攻击的突破，触发memcache协议层面的混乱，展示了深度目标知识能实现的惊人成果。

2. 浏览器驱动的反同步攻击：HTTP请求走私新前沿

作者将HTTP请求走私攻击扩展到客户端，成功入侵从Amazon到Apache等多个目标。这项技术难度极高，但已有人在实战中成功应用。

1. 利用OAuth登录流程中的"脏舞"实现账户劫持

Frans Rosen证明了即使浏览器引入referrer剥离防护，现代Web栈仍存在大量OAuth漏洞利用途径。这项研究展示了如何将低危URL泄漏变成账户接管武器，堪称年度最佳。

结语

2022年Web安全社区产出了前所未有的高质量研究。如果对这些技术感兴趣，建议阅读完整提名列表。想了解最新研究动态，可以关注@PortSwiggerRes和相关安全社区。我们也正在招聘新的安全研究员，欢迎加入！