2024 年十大网络黑客技术（web方向）

欢迎来到2024年度十大Web黑客技术榜单，这是我们年度榜单的第18期。这份榜单汇集了去年发表的最具创新性、不容错过的Web安全研究成果。

这份榜单是通过与安全社区三个阶段的合作完成的。在过去的一个月里：

• 社区提名了2024年的顶尖研究成果
• 社区投票选出前15名入围名单
• 专家评审团对入围名单进行投票，最终选出并排序前10名

今年，社区提名的研究成果数量达到惊人的121篇，几乎是上一年的两倍。为了让社区投票的选项数量更易于管理，我过滤掉了2024年以外发表的文章、Web应用安全范畴以外的文章，以及虽然有价值但缺乏创新性的分析文章。即便经过筛选，仍有103篇入围作品！

在社区投票后，我们很荣幸地看到前15名中包含了3篇来自PortSwigger Research的技术。为避免重蹈去年的覆辙，我将这些作品从专家评审环节中剔除。当然，我们对这些研究成果仍然深感自豪，您可以在这里阅读：

• Gotta cache 'em all：突破Web缓存利用的规则
• 拆解电子邮件原子：利用解析器绕过访问控制
• 倾听细语：切实可行的Web计时攻击

社区投票的15个入围作品随后由专家评审团进行分析和投票，评审团成员包括Nicolas Grégoire、Soroush Dalili、STÖK、Fabian (LiveOverflow)和我本人。

今年，前五名被一个主题所主导——你可能已经猜到是什么了。

让我们开始倒计时吧！

排在第10位的是通过Cookie Tossing劫持OAuth流程，作者是Elliot Ward。这项研究巧妙地运用了常被低估的Cookie Tossing技术，直接受到Thomas Houhou的早期文章启发。

这两篇文章都值得仔细研读，特别是当你发现自己遇到self-XSS，或者在无关紧要的子域名中发现XSS时。Cookie的出现早于管理JavaScript的同源策略，这项研究表明，尽管经过数十年的安全补丁（从HttpOnly到SameSite），Cookie仍然存在安全隐患。也许用localStorage来存储会话令牌会更安全。

Web缓存欺骗技术最初在2017年度十大Web黑客技术中获得第2名，最近又有了快速发展。

在ChatGPT账户接管 - 通配符Web缓存欺骗一文中，Harel对这一技术进行了创新，利用不一致的解码来执行路径遍历并逃脱缓存规则的预期范围。我们基于这一技术开发了Web Security Academy实验室，你可以亲自尝试。

我们强烈推荐阅读作者的所有文章——它们是我们自己进行Web缓存欺骗研究的重要灵感来源。

排在第8位的是通过OAuth非正常路径实现账户接管，作者是Oxrz。文章详细阐述了一个精妙且创新的攻击链条的思路。STÖK完美概括了这项研究的突出之处：

"我特别喜欢这种看似微不足道的事情——一个应用程序遵循被操纵的'Referer:'头——如何通过OAuth演变成完整的账户接管。这个攻击链完美展示了如何将从先前研究（在这个案例中是Frans Rosén几乎堪称传奇的Dirty Dancing文章）获得的灵感与深入研究OAuth文档相结合，从而产生出极具创造性的攻击链。我完全忘记了这种攻击流程，但从现在开始，每当我在测试时，一定会把基于referer的重定向检查自动化。"

第7名是一个CVE！具体来说是CVE-2024-4367 - PDF.js中的任意JavaScript执行。单个已修补的漏洞能进入前十名是很罕见的，但Thomas Rinsma的这个发现确实与众不同。PDF.js作为一个广泛使用的库，使得其二次影响既巨大又难以预测。这项研究对一些严重被忽视的攻击面进行了高质量分析，并颠覆了人们对攻击者可能获得立足点的假设。

如果你喜欢这类PDF相关的研究，我们强烈推荐阅读Alex Inführ和Ange Albertini的著作。

双击劫持：UI重定向的新纪元介绍了一种可以绕过几乎所有已知缓解措施的点击劫持变体。这个条目在评审团中引发了争议，因为它看起来简单且事后显得很明显，但由于其不可否认的价值而仍然获得了很高的排名。

虽然这种攻击概念的苗头多年前就已存在，但Paulos Yibelo的完美执行证明了这种攻击的时机已经成熟。框架限制和SameSite cookie在很大程度上扼杀了点击劫持，而浏览器性能已经达到使这种视觉欺骗几乎不可见的水平。无论你喜欢它，讨厌它，或者只是懊恼自己没有先发现它，这都不是一个可以忽视的技术！

HTML清理多年来一直是XSS的主战场，而Cure53的DOMPurify库已经成为几乎唯一真正有效的防御解决方案。

探索DOMPurify库：绕过与修复深入研究了浏览器HTML解析内部机制，发现并应用了新颖的mutation XSS (mXSS)原语。LiveOverflow将其描述为"读起来绝对令人愉悦"和"可能是理解mXSS及其如何影响DOMPurify等清理器的最全面的文章"。对于任何对JavaScript和XSS感兴趣的人来说，这都是必读之作，而且在未来几年里，它将成为任何想要开发HTML清理绕过的人的手册。

这是Mizu的出色作品。

每个人都"知道"字符集转换是一个绝对的雷区，但不知何故，它在实际漏洞利用中很少出现。在WorstFit：揭示Windows ANSI中的隐藏转换器中，Orange Tsai和splitline证明了这类攻击的真正威力，收获了大量CVE，并在此过程中引发了供应商之间的甩锅大战。当一些看似应该是基础平台知识的东西突然出现并让所有人大吃一惊时，这总是优秀研究的标志。

我们预计这一领域还会有更多发现，在Black Hat Europe现场看过这个演讲后，我将WorstFit风格转换的自动检测功能加入到ActiveScan++中以提供帮助。STÖK也发现WorstFit映射浏览器是生成模糊测试词表的绝佳工具。

社区对请求走私的认识仍在快速发展，揭示TE.0 HTTP请求走私：发现数千个Google Cloud网站中的严重漏洞是Paolo Arnolfo、Guillermo Gregorio和@_medusa_1_做出的一项重要且必读的贡献。

这项研究对我个人来说意义重大，因为它给了我一个重要的教训。当我最初遇到CL.0请求走私时，我推测TE.0可能存在但永远不会被利用，因为这需要后端服务器接受以数字和换行符开始的HTTP请求。我完全错了。一旦你掌握了基础知识，如果你想突破界限，依靠预测和分析反而会阻碍你。如果你因为认为自己知道答案而不去提问，你就会停滞不前。

如果你想知道这种攻击实际是如何工作的，我的最佳猜测是前端在重写主体为非分块时，由于OPTIONS方法而忘记设置Content-Length头。这是一个疯狂的发现，为许多可能性打开了大门。让我们拭目以待。

有时仅从副标题就能判断出研究会很精彩。LiveOverflow对此有很好的分析：

"优秀的研究进展通常发生在不同领域的交叉点。在Paul Gerste的SQL注入并未消亡：在协议层走私查询中，我们可以看到二进制内存损坏的思路被应用到Web黑客的世界。我们看到了一个导致大小被破坏的整数溢出，以及基本上是一个堆喷射技术来更可靠地命中伪造的查询……精彩绝伦。"

今年的竞争如此激烈，以至于这项研究都未能获得第一名，这就足以说明问题了。

Orange Tsai凭借混淆攻击：利用Apache HTTP Server中的隐藏语义歧义第三次荣获第一名。这份充满启发性、深入且影响深远的研究让整个评审团都为之惊叹。以下是评审团的评价：

"再一次，Orange带来了出色的研究！真是难以置信，之前竟然没有人想到用这种方式来研究Apache！" - Nicolas

"我确信我们只是触及了基于这项研究可能性的表面。迫不及待地想深入挖掘，寻找混淆的指纹和指标，时机成熟时，一鼓作气！" - STÖK

"Orange Tsai把Apache httpd当作web CTF挑战来研究！Orange的研究（一如既往地）深度和影响力令人难以置信。考虑到httpd的普及程度，这项研究将长期作为安全从业者的参考。" - LiveOverflow

"Orange让所有应用都混乱了！" - Soroush

这是一项令人难以置信的、必读的研究，绝对当之无愧获得第一名。恭喜Orange！

安全社区在2024年发表了创纪录数量的高质量研究，这导致社区投票和专家评审都竞争激烈。这不仅仅是数量的问题——这是自2018年我接手这个榜单项目以来见过的最高质量的研究集合，如果这个趋势明年继续下去，必将掀起一场腥风血雨。在103项提名中只有十个席位，许多优秀的研究都未能入选，所以请务必查看完整提名列表，并让我们知道你心目中的第一名是什么。另外，如果你发现了2024年的一些出色研究但没有被提名，请给我发邮件，我会将其添加到列表中。

能否入选前十名的部分原因在于其预期的持久性，所以也值得关注历年榜单归档。如果你想预览可能在2025年获奖的研究，可以订阅我们的RSS，加入r/websecurityresearch，跳转到我们的Discord，或在社交媒体上关注我们。如果你对自己进行这类研究感兴趣，我在寻找隐蔽漏洞、如何选择安全研究主题和想成为Web安全研究员？中分享了这些年来学到的一些经验。

非常感谢评审团贡献他们的时间和专业知识来策划最终结果，也感谢所有参与者！没有你们的提名、投票，最重要的是研究成果，这一切都不可能实现。

下次再会！

• 原文链接：https://portswigger.net/research/top-10-web-hacking-techniques-of-2024