Каждый год сообщество экспертов по веб-безопасности выбирает TOP-10 техник атак на веб-приложения. Организатором конкурса выступает компания Portswigger, разрабатывающая один из лучших инструментов для тестирования на проникновение веб-приложений — Burp Suite.
Под катом вас ждет 10 лучших инновационных техник атак на веб-приложения, отобранных со всего мира.
Всего было номинировано 59 новых техник атак, из которых сообщество путем голосования выделило следующие:
10. Межсайтовый поиск в багтрекере Google для выявления уязвимого кода (XS-Searching Google's bug tracker to find out vulnerable source code)
Комбинация уязвимостей системы багтрекинга Monorail позволяла атакующему получать тикеты, загруженные другими пользователями. Эта система используется такими командами, как Angle, PDFium, Gerrit, V8, Open Media и Project Zero (Google).
Используя уязвимости CSRF + XS-Search, исследователь Luan Herrera сумел подобрать валидные репорты в тикет-системе, содержащие информацию о багах.
9. Эксфильтрация данных с помощью инъекций табличных документов (Data Exfiltration via Formula Injection)
С помощью инъекций формул в онлайн-документы Google Sheets и Libre Office исследователям удалось получить данные о целевой системе.
8. Prepare(): введение в новые техники атак Wordpress (Introducing novel Exploitation Techniques in WordPress)
Это исследование посвящено злоупотреблению двойными связываемыми переменными, а также десериализацией PHP.
7. Эксплуатация XXE с локальными DTD-файлами (Exploiting XXE with local DTD files)
Суть этой атаки сводится к использованию локальных DTD-файлов для развития атаки XXE, исходя из того, что удаленные DTD могут быть заблокированы файрволом и т. д.
6. Десериализация в PHP на новый лад (It's A PHP Unserialization Vulnerability Jim But Not As We Know It)
На 6 месте опасная, но спорная (по авторству) эксплуатация особенности поведения PHP при работе с архивами PHAR. Вроде как свежая уязвимость, но еще в 2017 обсуждалась на форуме Beched, еще ранее была использована в HITCON CTF Quals победителя сегодняшнего хит-парада Orange Tsai, а до этого тихо лежала в багтрекере PHP.
5. Атака современных веб-приложений (Attacking 'Modern' Web Technologies)
Франс Розен рассказал о том, как вы можете использовать HTML5 AppCache для эксплуатации.
4. «Загрязнение» proto-свойств в NodeJS (Prototype pollution attacks in NodeJS applications)
В этом исследовании подробно описывается новый метод получения RCE для приложений NodeJS с использованием атак на основе __proto__, которые ранее применялись только к клиентским приложениям.
3. Позади XSS: ESI-инъекции (Beyond XSS: Edge Side Include Injection)
Эта атака примечательна тем, что использует в качестве целей различные проксирующие механизмы, балансеры, серверы кеширования и т. д. Вектор атаки направлен на язык разметки Edge Side Includes, позволяющий использовать дополнительную информацию в кешируемом контенте, в том числе и динамическое содержимое. Эксплуатация уязвимостей ESI позволяет обойти механизмы HTTPOnly при проведении XSS-атак, производить SSRF-атаки.
2. Отравление кеша: переопределение «неэксплуатируемого» (Practical Web Cache Poisoning: Redefining 'Unexploitable')
Это исследование, проведенное Джеймсом Кеттлом (один из разработчиков Burp Suite), демонстрирует методы заражения веб-кеша вредоносным контентом с использованием скрытых заголовков HTTP.
1. Обламываем логику парсера (Breaking Parser Logic: Take Your Path Normalization off and Pop 0days Out!)
Первое место занимает небезызвестный Orange Tsai с новой техникой атаки, основанной на недостатках проверки путей, позволяющей атакующему влиять на целевые веб-сервер, фреймворк и т. д. Первое место этот исследователь занимает второй год подряд.
