Главная » Хабрахабр » 10 лучших техник веб-хакинга 2018

10 лучших техник веб-хакинга 2018

image

Организатором конкурса выступает компания Portswigger, разрабатывающая один из лучших инструментов для тестирования на проникновение веб-приложений — Burp Suite. Каждый год сообщество экспертов по веб-безопасности выбирает TOP-10 техник атак на веб-приложения.

Под катом вас ждет 10 лучших инновационных техник атак на веб-приложения, отобранных со всего мира.
Всего было номинировано 59 новых техник атак, из которых сообщество путем голосования выделило следующие:

10. Межсайтовый поиск в багтрекере Google для выявления уязвимого кода (XS-Searching Google's bug tracker to find out vulnerable source code)

Комбинация уязвимостей системы багтрекинга Monorail позволяла атакующему получать тикеты, загруженные другими пользователями. Эта система используется такими командами, как Angle, PDFium, Gerrit, V8, Open Media и Project Zero (Google).

Используя уязвимости CSRF + XS-Search, исследователь Luan Herrera сумел подобрать валидные репорты в тикет-системе, содержащие информацию о багах.

image

9. Эксфильтрация данных с помощью инъекций табличных документов (Data Exfiltration via Formula Injection)

С помощью инъекций формул в онлайн-документы Google Sheets и Libre Office исследователям удалось получить данные о целевой системе.

image

image

8. Prepare(): введение в новые техники атак WordPress (Introducing novel Exploitation Techniques in WordPress)

Это исследование посвящено злоупотреблению двойными связываемыми переменными, а также десериализацией PHP.

7. Эксплуатация XXE с локальными DTD-файлами (Exploiting XXE with local DTD files)

Суть этой атаки сводится к использованию локальных DTD-файлов для развития атаки XXE, исходя из того, что удаленные DTD могут быть заблокированы файрволом и т. д.

6. Десериализация в PHP на новый лад (It's A PHP Unserialization Vulnerability Jim But Not As We Know It)

На 6 месте опасная, но спорная (по авторству) эксплуатация особенности поведения PHP при работе с архивами PHAR. Вроде как свежая уязвимость, но еще в 2017 обсуждалась на форуме Beched, еще ранее была использована в HITCON CTF Quals победителя сегодняшнего хит-парада Orange Tsai, а до этого тихо лежала в багтрекере PHP.

image

5. Атака современных веб-приложений (Attacking 'Modern' Web Technologies)

Франс Розен рассказал о том, как вы можете использовать HTML5 AppCache для эксплуатации.

4. «Загрязнение» proto-свойств в NodeJS (Prototype pollution attacks in NodeJS applications)

В этом исследовании подробно описывается новый метод получения RCE для приложений NodeJS с использованием атак на основе __proto__, которые ранее применялись только к клиентским приложениям.

3. Позади XSS: ESI-инъекции (Beyond XSS: Edge Side Include Injection)

Эта атака примечательна тем, что использует в качестве целей различные проксирующие механизмы, балансеры, серверы кеширования и т. д. Вектор атаки направлен на язык разметки Edge Side Includes, позволяющий использовать дополнительную информацию в кешируемом контенте, в том числе и динамическое содержимое. Эксплуатация уязвимостей ESI позволяет обойти механизмы HTTPOnly при проведении XSS-атак, производить SSRF-атаки.

image

2. Отравление кеша: переопределение «неэксплуатируемого» (Practical Web Cache Poisoning: Redefining 'Unexploitable')

Это исследование, проведенное Джеймсом Кеттлом (один из разработчиков Burp Suite), демонстрирует методы заражения веб-кеша вредоносным контентом с использованием скрытых заголовков HTTP.

image

1. Обламываем логику парсера (Breaking Parser Logic: Take Your Path Normalization off and Pop 0days Out!)

Первое место занимает небезызвестный Orange Tsai с новой техникой атаки, основанной на недостатках проверки путей, позволяющей атакующему влиять на целевые веб-сервер, фреймворк и т. д. Первое место этот исследователь занимает второй год подряд.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Из жизни с Kubernetes: Как HTTP-сервер испанцев не жаловал

Все приложения написаны на . Представитель нашего клиента, стек приложений которого обитает в облаке от Microsoft (Azure), обратился с проблемой: с недавнего времени часть запросов некоторых клиентов из Европы стала завершаться ошибкой 400 (Bad Request). NET, развёрнуты в Kubernetes… Этот ...

[Перевод] Умные часы с Бейсиком на физическом 6502

Процессор 6502 существует более 40 лет и до сих пор используется в ряде встроенных систем. Компания WDC продолжает выпускать 65C02 и периферийные микросхемы серии 65Cxx. Автор обнаружил, что теперь они доступны и в корпусах PLCC и QFP, но эти варианты ...