분류 javascript

2019 년 최고의 웹 해킹 기술로 명명 된 웹 캐시 속임수

컨텐츠 정보

  • 조회 446 (작성일 )

본문

PortSwigger Web Security는 2019 년 최고의 웹 해킹 기술에 대한 연례 요약을 발표했습니다. 

커뮤니티와 전문가 패널리스트의 결합에 의해 선택된 10 가지 방법은 주로 새로운 기술을 한 번의 기술로 호흡함으로써 정의됩니다.


https://portswigger.net/daily-swig/web-cache-deception-named-top-web-hacking-technique-of-2019 


웹의 더 위험한 구멍을 수정하는 데 성공한 집단 연구는 2019 년부터 선택한 작물과 크림의 배후에 있는 추론이기도 합니다.


SSRF (Server Side Request Forgery) 분야의 기존 지식을 바탕으로 개발 된 연구자 인 Ben Sadeghipour와 Cody Brocious의 3 위 항목을 통해 DNS 리 바인딩을 사용하여 서버 측 PDF 생성기에이 기술을 어떻게 적용하고 적용 할 수 있는지 보여줍니다.


DEF CON 27에서 Sadeghipour의 프리젠 테이션을 확인하십시오.


XSS 취약성이 주류 인식에 진입함에 따라 교차 사이트 누출 (XS-Leaks)이 연구원 커뮤니티의 주목을 받기 시작했습니다.


따라서 10 년 전에 처음으로 문서화 되었지만 그 이후로 계속 증가하는 변종 목록을 포함하도록 진화한 이러한 유형의 공격 개발에 대한 공동 노력으로 올해 Top 10의 두 번째 연단을 보게 된 것은 놀라운 일이 아닙니다.


Eduardo Vela의 입문 자습서를 통해 주제에 대한 연구를 진행하거나 알려진 XS 벡터를 공개적으로 나열하는 팀의 노력에 관계없이 이 기술의 사용은 눈에 띄지 않았으며 곧 사라질 가능성도 없습니다.


지난주 일본 연구원 인 타카시 요네 우치 (Takashi Yoneuchi)는 XS-Leak 계열에 속할 이론적 착취인``맹인 정규식 주입 ''을 발표했으며 연구원들이 단지 (공격) 표면을 긁었다는 또 다른 증거를 발표했다.


그러나 2019 년 1 위는 WCD (Web Cache Deception) 취약점의 실제 영향을 정량화 한 연구원들에게 갔다.


Seyed Ali Mirheidari, Sajjad Arshad, Kaan Onarlioglu, Bruno Crispo, Engin KirdaWilliam Robertson을 포함한 팀은“Daily Swig에 말했다.


"우리는 방법론을 개발하고 수백 개의 인기 있는 웹 사이트에서 대규모 실험을 수행하기 위한 인프라를 구축했으며 37 개의 악용 가능한 인스턴스를 발견했습니다."


'Cache and Confused'(PDF) 팀은 보안 연구원 Omer Gil이 처음에 문서화 한 원본 WCD 기술을 기반으로 이 방법을 여러 가지 방법으로 변경하여 성공적인 공격을 수행하는 방법을 추가로 보여주었습니다.


"우리는 이 1 위 자리가 우리의 작업이 더 넓은 보안 커뮤니티에서 더 많은 관심을 끌고 신속한 방어 개발을 위한 길을 열 수 있기를 바랍니다."


"그 동안 웹 캐시 공격이 종종 시스템 문제라는 사실에 대해 인터넷 커뮤니티를 교육하기 위해 노력하고 있으며 서버 운영자와 웹 캐시 공급 업체의 공동 노력이 필요합니다."


커뮤니티 좋아하는 


바운티가 웹 해킹 성공에 대한 구체적인 척도는 얻지 못했지만 HTTP desync 공격은 한때 두려워했던 HTTP 요청 밀수 방법을 부활시키는 기술인 James Kettle에게 $ 90,000를 가져 왔으며, 이는 부분적으로 PayPal의 로그인 페이지를 두 번 손상 시키는 성과로 인해 두 배로 높았습니다.


작년 Black Hat USA에서 처음 발표 된 Kettle은 Top 10에서 Community Favorite을 수상했습니다. 이는 유한한 단순성으로 HTTP 요청 프로토콜의 불일치를 밝히는 명백한 승자입니다.


PortSwigger의 보안 책임자이자 Top 10 큐레이터와 관련된 주요 패널리스트 중 한 명인 James Kettle은 웹 보안 및 공격적 해킹에서 향후 개발에 대한 목록의 의미를 예측하는 것을 주저하지만, 침입의 어려움에 대한 확실성을 발견했습니다. 오늘날 온라인 환경의 것들.


Kettle은“올해 흥미로운 사실은 상위 항목이 점점 더 협업하고 있다는 점입니다. 상위 3 개는 여러 다른 연구원의 작업이며 이전 연구원의 이전 작업을 기반으로 합니다.


“우리는 2019 년에 발견 된 웹 취약점에 회사가 더 많이 반응하는 것을 보았습니다.


"우리는 Amazon이 SSRF 위협과 관련이있는 EC2 메타 데이터 엔드 포인트를 위한 새로운 잠금 버전을 출시했으며, 브라우저 XSS 필터가 제거됨 [Edge and Chrome]은 XS-Leaks의 일부 결과입니다."


웹 해킹 적중 목록 


PortSwigger의 2019 년 10 대 웹 해킹 기술은 51 개의 후보로 선정되었으며 모두 infosec 커뮤니티가 제출했습니다.


Top 10은 Nicolas Grégoire, Soroush Dalili, Filedescriptor 및 James Kettle으로 구성된 패널에 의해 선정되었습니다.


전체 목록은 다음과 같습니다. 

  1. 캐시 및 혼동 : 캐시 및 혼동 팀을 통한 야생에서의 웹 캐시 속임수
  2. Eduardo Vela et al을 통한 교차 사이트 누출
  3. Ben Sadeghipour와 Cody Brocious를 통한 Sever Side Request Forgery를 통해 영향력을 소유
  4. Orange Tsai를 통한 인증되지 않은 RCE에 대한 메타 프로그래밍 남용
  5. Masato Kinugawa 및 LiveOverflow를 통한 Google 검색 XSS
  6. Paweł Hałdrzyński를 통해 .NET에 제공되는 XSS는 모두
  7. EdOverflow et al을 통해 버그 바운티 헌터로서 CI 서비스 탐색
  8. NSA와 같은 기업 인트라넷에 침투 : Orange Tsai 및 Meh Chang을 통해 SSL SSL을 선도하는 사전 인증 RCE
  9. Microsoft Edge (Chromium) – Abdulrhman Alqabandi를 통한 EoP에서 잠재적 RCE로
  10. Sam Curry를 통해 4 만 달러 현상금으로 널 바이트 버퍼 오버플로 악용