声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

博客新域名：https://gugesay.com

由于本文涉及大量链接，建议读者点击下方“阅读原文”跳转阅读。

目录

背景介绍

PortSwigger 每年年初都会评选出上一年度的最佳黑客技术，这次评选PortSwigger在社区收到了共计68件评选作品，最终有15个作品杀入决赛，然后经过两周的分析，最终从这15个作品中评选出了Top10 Web黑客技术，那么让我们来看看2023年的十佳Web黑客技术有哪些吧。

#10. 攻击根 EPP 服务器以控制区域

https://hackcompute.com/hacking-epp-servers/

安全研究人员 Sam Curry、Brett Buerhaus、Rhys Elsmore 和 Shubham Shah 破解根 EPP 服务器以控制区域，给大家来了一个永恒的教训：关键的互联网基础设施可能极其脆弱，而破解某些东西的最简单途径可能是在很多层之外…

#9.Cookie 崩溃：破坏和修复 Web 会话完整性

https://www.usenix.org/system/files/usenixsecurity23-squarcina.pdf

论文的第九章从多个角度审视了 Web Cookie 的状态，其中一项出色的技术是 CSRF 令牌固定 – 固定会话的表兄弟，使用这种技术可以利用众多身份验证库，甚至包括流行的 PHP 框架 Symfony，如果你想在 2024 年继续尝试 CSRF 攻击，一定不能错过该论文。

#8.从Akamai到F5再到NTLM

第八名：《From Akamai to F5 to NTLM… with love》证明了 HTTP 异步攻击仍在互联网上肆虐，D3d 的 deadvolvo 的这篇文章之所以能够脱颖而出，得益于对研究思维过程的丰富探索，不仅分享了整个过程，甚至还捕捉到了这一类漏洞的范围和重要影响。

#7.如何黑掉 Microsoft Teams 并在 Pwn2Own 中获得 150,000 美元

带您了解价值 150,000 美元的漏洞利用链的构思和开发，Masato Kinugawa（木川雅人）的演示经过精心设计，旨在让读者自己重新发现该漏洞，它并没有引入一种新颖的攻击方式，而是对绕过保护的创新方法的全面洞察，建议每个人都应当认真阅读，尤其是你想在 Electron 应用程序中找到漏洞的话，它特别值得反复阅读！

#6.HTTP请求分割利用

https://offzone.moscow/upload/iblock/11a/sagouc86idiapdb8f29w41yaupqv6fwv.pdf

人们很容易低估 HTTP 请求拆分的范围，所以人们觉得它不应该存在于 2023 年的任何主流服务器中，然而，Nginx 显然不这么认为，这使得该漏洞成为黑客们常用的、影响巨大的金矿。

在 HTTP 请求拆分漏洞利用中，Sergey Bobrov 提供了大量的案例研究，展示了实现最大影响的创造性途径。你可以期待它仍然很有价值，除非Nginx作出改变，或是HTTP/1.1逐渐消失。

#5.利用HTTP解析器的不一致性

排名第五的 《Exploiting HTTP Parsers Inconsistencies》采用了熟悉的解析器混淆技术，并将其重新应用到新的上下文中，发现了 ACL 绕过、SSRF、缓存中毒，甚至还有 WAF 绕过，而要把研究工作做得如此简单，则需要相当高超的技巧。

#4.PHP过滤器链：从基于错误的Oracle读取文件

2022 年，hash_kitten 发明了一种极具创意的技术，通过重复使用 PHP 过滤器触发内存不足异常来泄漏文件内容，但却很难复现它，该技术很大程度上并没能引起公众的关注。

而在《PHP filter chains: file read from error-based oracle》中，Rémi Matasse 为这项令人惊叹的技术提供了值得深入的解释、优化和随附的工具包，这项技术很有趣，非常期待它是否在 PHP 或其他语言中得到进一步应用！

#3.SMTP Smuggling – 在全球范围内伪造电子邮件

Timo Longin 的《SMTP Smuggling – Spoofing E-Mails Worldwide》获得了当之无愧的年度季军，这项研究通过采用 HTTP 请求走私技术来利用 SMTP，从而继续延续解析器差异风暴，它包含了杰出研究的所有特征：针对知名软件的高影响力案例研究、深入解释、工具以及进一步研究的巨大潜力。

#2.利用强化的 .NET 反序列化

Piotr Bazydło 的《Exploiting Hardened .NET Deserialization》是一本绝对的反序列化大师级著作，该PDF的引言便提出了一个目标：“证明那些看似不可利用的目标实际上可能是脆弱的”，在随后的 100 页内容中只为实现这一目标！

#1.粉碎状态机：挖掘条件竞争的真正潜力

https://portswigger.net/web-security/race-conditions

近年来，关于条件竞争没有太多可说的——测试人员很清楚它们在哪里，也十分确定它们是否有效，然而 James Kettle 的这篇冠军之作突出了日常应用中对于条件竞争攻击之前被忽视的方方面面，它专注于条件竞争攻击的多个步骤和方面，以实现更大的影响，并采用最新的 HTTP 堆栈技术来最大限度地提高可利用性。

原文地址：https://portswigger.net/research/top-10-web-hacking-techniques-of-2023

以上内容由骨哥翻译并整理，希望你能有所收获！

感谢阅读，如果觉得还不错的话，欢迎分享给更多喜爱的朋友～

====正文结束====

原文始发于微信公众号（骨哥说事）：2023 年十佳 Web 黑客技术