聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

PortSwigger 发布2021年的前十大 Web Hacking 技术。该媒体自2015年开始向信息安全社区征求候选名单，本次共收到40份研究论文，最终评选出10份。今年的主导性话题是 HTTP 请求走私和针对解析器不一致性的攻击。随着系统愈加复杂且更具互联性，这类威胁越来越多。数十年来，随着HTTP/1.1 的使用最终开始减少，观察解析器的战场如何变化将非常有趣。

10、 通过嵌入式解析器模糊测试XSS

对于像XSS这样的古早话题，我们很容易觉得自己已经了解得够多，从而错过新研究。通过嵌入式解析器模糊测试XSS 的hacking 技术证明了这个想法的风险有多大。研究论文《通过嵌入式解析器条件模糊测试XSS》说明了栈 HTML 清理规则如何相互对抗，产生显著结果。论文所提供的令人印象深刻的案例和清晰的方法论助其成为顶级研究。

文章参见：https://swarm.ptsecurity.com/fuzzing-for-xss-via-nested-parsers-condition/

9、 通过更高的HTTP版本进行HTTP 走私

2021年年初，HTTP/2 被认为除了timing 攻击和算不上严重的DoS 攻击外，基本不受安全问题的困扰。但 Emil Lerner 编写的《通过更高的HTTP版本进行HTTP 走私》一文打破了这一神话，本文通过自定义工具和创新技术披露了在将 HTTP/2 转换为HTTP/1.1的过程中存在的多个漏洞。之后，Emil 还编写了关于 HTTP/3 的新的研究结果。

文章参见：https://www.slideshare.net/neexemil/http-request-smuggling-via-higher-http-versions

8、 实用 HTTP 标头走私

某漏洞可能是普遍存在的、易于理解且影响力大，但如果无人知道如何检测它，则导致无人关注。CL.CL 请求走私就在这个细分领域存在了很长一段时间。

Daniel Thatcher 在《实用HTTP 标头走私》一文中隔离了 HTTP 请求走私的一个核心组件，并将其重新整合至策略中，从而能够识别两种 CL.CL 漏洞以及一般的隐藏标头攻击。如对该方法论易受攻击的程度有疑问，则可参照文章中提到的AWS案例研究。未来你将看到关于该技术的更多信息。

文章参见：https://www.intruder.io/research/practical-http-header-smuggling

7、 JSON 互操作性漏洞

虽然JSON 一直被指有一点古怪，但基本回避了影响XML解析的exploit。然而，不管是哪种格式，如果进行两次解析，则总会出错。

Jake Miller 编写的《JSON 互操作性漏洞》深入分析了如何触发 JSON 解析器的不一致性以及这些通常看似无害的古怪之处如何可被利用。绑定的基于 Docker 的实验室使其易于复制和实践。

文章参见：https://bishopfox.com/blog/json-interoperability-vulnerabilities

6、 大规模缓存投毒

案例分析是研究成败的决定因素，《大规模缓存投毒》一文提供了大量案例分析。作者 Youstin 证明了 web 缓存投毒仍然流行，且仍然被大规模忽视。虽然DoS 漏洞经常不受研究员重视，但很多企业明显重视 web 缓存投毒带来的持久的单请求后果。这也说明了通过串联机密标头中微小的不一致和配置不当可触发严重漏洞。

文章参见：https://youst.in/posts/cache-poisoning-at-scale/

5、隐藏的 OAuth 攻击向量

黑客一般关注的是直接可见的或者在侦察阶段发现的端点。Michael Stepankin 在《隐藏的 OAuth 攻击向量》文章中以另一种方式深入分析了 OAuth 和 OpenID 标准，发现隐藏的端点和设计缺陷，可被用于枚举、会话投毒和SSRF。Michael 还更新了 ActiveScan++ 和 Burp 的发现字表，自动监测攻击面。

文章参见：https://portswigger.net/research/hidden-oauth-attack-vectors

4、 在野利用客户端原型污染

文件描述符对原型污染的描述为“因为仅偶然遭利用，因此它无疑是处于劣势的bug 类别”。此前它只是属于爱好者们的技术，直至《让互联网污染免费的故事：在野利用客户端原型污染》一文横空出世。

这项出色的研究定义了关于实用性识别和利用的清晰且具有洞察力的方法论。它也因 s1r1us 牵头的全明星阵容备受关注，用 Soroush 的话来说，“就像在看《复仇者联盟》！”

文章参见：https://blog.s1r1us.ninja/research/PP

3、 MS Exchange 上的新攻击面

Orange Tsai 通过分三部分编写的《MS Exchange 上的新攻击面》文章连续五年位列Top 10。其它多数研究关注的是发现多个网站中的常见漏洞类型，而本研究则深入分析某个特定目标且发现灾难性后果。

专家评审组均对该文章表示赞赏，称其“对 Exchange 架构和攻击面的完美介绍，exploit 可靠且影响巨大”，是“开始开展严肃研究的令人鼓舞的读物”，也是“一个马蜂窝”，“改变了很多人看待这个流行的邮件解决方案的方式，并提醒我们，即使是看似最安全的应用，如果够坚持且关注所有细节，则也可被攻破。”

文章参见：https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.htm

2、 HTTP/2：结局总是更糟糕

耗时9个月，本文作者编写的文章《HTTP/2：结局总是更糟糕》一文还是和上述提到的 Emil 的研究主题“撞车”，不过这让阅读更“有意思”，最后的突破使其脱颖而出。专家评审组表示，“好奇当二进制和 ASCII 协议之间转换时会产生什么问题？”、“本研究拥有读者需要的一切。除了真实研究和结果外，高质量的 write-up、工具集和演示使其独具匠心。”、“这是关于HTTP2 如何大规模提升整个情况复杂度的非常棒的研究。由于人们仍在实用HTTP2，因此在永不停止的HTTP（降级）升级的助力下，请求走私将更具相关性。”

文章参见：https://portswigger.net/research/http2

1、 依赖混淆

某些最佳研究成果优雅简约，但我们对此似乎是后知后觉。Alex Birsan 在《依赖混淆》一文中说明了影响主流程序包管理器中的严重的设计和配置缺陷，它们利用包名称的歧义在数量庞大的主要企业中实现RCE，并为此获得10万美元的奖金。除了影响巨大外，讲解细致入微，带领读者穿过整个研究旅程。

相关讨论和缓解措施仍在开展中，我们非常好奇研究未来将向何处。会因为攻击太优雅而不存在改进空间吗？它只是持久性新型攻击类型的不起眼的开端？我们所知道的是，如果读者仅打算阅读2021年的一篇文章，那么它就是这篇文章。恭喜 Alex 获得当之无愧的胜利！

文章参见：https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

所有提名文章列表可见：https://portswigger.net/research/top-10-web-hacking-techniques-of-2021-nominations-open

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

什么鬼？我能通过依赖混淆攻击在 Halo 游戏服务器中执行命令，微软不 care？！

依赖混淆 exploit 已被滥用于攻击亚马逊等多家大厂

“依赖混淆”供应链攻击现身 微软苹果特斯拉优步等超35家企业内网失陷

微软 Exchange 服务器被滥用于内部邮件回复链攻击

微软 Exchange Autodiscover 协议存bug，数十万域凭据可遭泄露

ProxyToken：微软 Exchange 服务器中的认证绕过新漏洞，可窃取用户邮件

【BlackHat】速修复！有人正在扫描 Exchange 服务器寻找 ProxyShell 漏洞

速修复！NSA 报告四个严重和高危 Exchange Server RCE 漏洞

研究员发现70个web缓存投毒漏洞，获奖4万美元

12年前的 Linux bug 复活，DNS 缓存投毒攻击重现

从简单的 XSS 到完整的 Google Cloud Shell 实例接管，值5000美元

Let’s Encrypt 将在两天内撤销约200万份HTTPS 证书

Node.js 易受两个HTTP请求走私漏洞影响

Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day

开源的代理服务器HAProxy 易遭严重的 HTTP 请求走私攻击

新型 HTTP/2 缺陷导致未修复 Web 服务器易遭 DoS 攻击

原文链接

https://portswigger.net/research/top-10-web-hacking-techniques-of-2021

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~