总结回望丨2018年十大Web黑客技术榜单

2018年过去了，在这一年中，随着Web功能应用的越加广泛化，针对Web层面的攻击也越加多样化和精细化。最近，由Portswigger公司发起的“2018年十大WEB黑客技术”出炉了！在最初的59个提名技术议题中，由社区投票初选出了15个，之后，又经由James Kettle、Nicolas Grégoire、Soroush Dalili和Filedescriptor组成的评审组讨论之后，投票选出了最终十大最具创新性的WEB黑客技术。

评审组一致认为，这十大WEB黑客技术将能经受时间考验，并会在未来几年内引发出更多的攻击面。我们一起从第十名开始，来倒序梳理2018年的这TOP 10 WEB黑客技术。

十、用跨站搜索（XS-Search）在谷歌问题跟踪平台实现敏感信息获取

Luan Herrera的 这篇漏洞writeup ，非常直接地点题：跨站搜索（XS-Search），对，这种类似于边信道的攻击，通过向目标站点发送搜索请求，结合特定搜索功能，根据响应时间差异（XS-Timing），来消除不稳定的网络延迟，判断目标服务端隐私信息的准确性，间接绕过”同源策略“影响，是一种新型的Web攻击方式。在可搜索信息量较大，或目标服务端搜索功能多样化的场景下，是一种有效的信息获取手段。在未来，将会出现更多的XS-Search漏洞。

九、通过公式注入（Formula Injection）的数据渗漏

安全研究员Ajay和Balaji通过研究谷歌表格（Spreadsheet）和LibreOffice，发现了其中的 一系列数据渗漏（Data Exfiltration）技术 。这些技术手段可能没有排名靠前的技术议题亮眼，但却非常实用上手，对于验证此类型漏洞来说非常有用。

如果你想确切知道恶意电子表格与web安全的关系，你可以仔细查看其中的逗号分隔漏洞（Comma Separated Vulnerabilities）。当然，还有2018年首次被发现的服务端公式注入漏洞。

八、Prepare(): 一种新的WordPress漏洞利用方式

WordPress应用广泛，算是一个比较全面复杂的内容管理系统了，以至于对它的每个漏洞利用都能成为一门独立学问。安全研究员Robin Peraglie分享了他 基于Slavco Mihajloski对PHP反序列化漏洞的分析 ，深入研究了WordPress中double prepared statements的漏洞利用。

七、利用本地DTD文件（文档类定义文件）实现XXE漏洞利用

对Blind XXE的漏洞利用，通常需要依赖于是否可以加载外部文件或攻击者托管文件，而且有时候，存在漏洞的服务端还会被防火墙把出站流量阻拦。如何在这种常规漏洞利用中创新方式方法呢？安全研究员Arseniy Sharoglazov 分享了他自己非常有创意的一种XXE利用方法 ，那就是通过对本地DTD文件的利用去绕过防火墙的检测机制。

尽管这种漏洞利用方法仅对某几种特定的XML解析器和配置方式有效，但一旦攻击成功，其威胁影响远超一般的DoS，可以形成对目标服务器的完全控制。而且，在Twitter上，网友还对这种方法做出一种更灵活的改进。

六、一种PHP反序列化漏洞：利用phar协议结构扩展PHP反序列化漏洞攻击面

此前可能小范围的圈子知道，利用形如phar://的PHP流的封装器，对一些如file_exists()看似无害的声音操作行为进行滥用，可以触发反序列化漏洞或实现远程代码执行（RCE）。在 Sam Thomas的分享中 ，他以实际问题和包括WordPress在内的多个漏洞测试用例入手，进行了充分的研究印证。

五、对“现代”Web技术的一种攻击方式

Web大神Frans Rosen通过 一系列牛叉的研究表明 ，不管禁用与否，可以利用HTML5的应用缓存（AppCache）实现一系列奇妙的漏洞利用。他还在其中讨论了，利用客户端竞争条件发起的postMessage攻击。

四、NodeJS应用中的原型污染攻击

不影响PHP结构的某种特定编程语言漏洞非常厉害，Olivier Arteau在 NorthSec会议上的分享 就是这样的，他介绍了一种在NodeJS应用中，基于__proto__实现对目标服务器的远程代码执行攻击（RCE），这种攻击此前只适用于某些客户端应用中。作为测试来说，可以在Portswigger推出的Backslash Powered Scanner扫描插件中，通过添加__proto__ 作为规则来对目标网站进行暂时性的漏洞测试。

三、超越XSS：ESI标记语言注入（Edge Side Include Injection）

Edge Side Includes (ESI) 是一种标记语言，主要在常见的HTTP代理中使用。通过ESI注入技术可以导致服务端请求伪造（SSRF），绕过HTTPOnly cookie的跨站脚本攻击（XSS）以及服务端拒绝服务攻击。

延续了传统网络技术再次成为漏洞利用媒介的主题，Louis Dion-Marcil发现，很多流行的反向代理会被通过ESI注入方式，形成一些如SSRF的攻击。 该高质量的技术议题 研究揭示了很多极具威胁的漏洞利用场景，另外，其中通过JSON响应的HTML利用，表明其攻击威力远超XSS技术。

二、实战Web缓存投毒：重新定义 ‘Unexploitable’

在Portswigger技术总监James Kettle的 发现分享 中，他展示了如何基于隐藏的HTTP头，利用恶意内容对Web缓存进行毒化。评审组一致认为，该技术是一种 “在传统基础上出色而有深度的研究”、“原创性强且研究透彻”、“思路清晰又简洁实用”。

一、Breaking Parser Logic! Take Your Path Normalization Off and Pop 0days Out

这是台湾白帽Orange Tsai（蔡政达） 在2018 Black Hat USA上的议题 ，他介绍了如何基于“不一致性”安全问题，综合利用4个功能性Bug，实现对亚马逊（Amazon）协同平台系统的远程代码执行。由于该议题技术会对当下流行的网站框架、独立服务器和反向代理类应用产生影响，考虑到其技术研究的良好实用性、强大威胁隐患和广泛影响范围，评审组一致推荐其为当之无愧的第一名。这是继2017之后，Orange Tsai又一次蝉联TOP 10榜首！牛！恭喜！

大家可以 点此查看59项提名技术议题 ，也可参考 2017年的TOP 10 Web黑客技术榜单 。

*参考来源： Portswigger ，clouds编译，转载请注明来自FreeBuf.COM