PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года, проекта, созданного усилиями сообщества, чтобы определить самые инновационные и важные исследования в области веб-безопасности, опубликованные за последний год.

Этот пост стал результатом трехэтапного сотрудничества с сообществом безопасности:

• Сообщество предложило номинации на лучшие исследования 2024 года.

• Сообщество проголосовало за эти номинации, чтобы составить шорт-лист из 15 лучших.

• Экспертная комиссия проголосовала за шорт-лист, чтобы выбрать и упорядочить 10 финалистов.

В этом году сообщество номинировало 121 исследование — почти вдвое больше, чем в прошлый раз.

Топ-10 техник атак веб-приложений 2024 года:

1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server

Orange Tsai в третий раз занимает 1-е место с исследованием Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server. Эта публикация оставила всю экспертную комиссию в восхищении.

LiveOverflow: "Учитывая популярность httpd, это исследование будет служить ориентиром для специалистов по безопасности долгое время."

2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level

Иногда можно понять, что исследование будет потрясающим, просто по названию. LiveOverflow дает отличный анализ:

Большой прогресс в исследованиях часто происходит на стыке областей. В работе Paul Gerste SQL Injection Isn't Dead Smuggling Queries at the Protocol Level мы видим, как идеи из области бинарных уязвимостей применяются к миру веб-взлома. Тут присутствует и целочисленное переполение, и техника, похожая на heap-spray...

3. Unveiling TE.0 HTTP Request Smuggling

Развитие сообществом атак HTTP Request Smuggling все еще продолжается и TE.0 HTTP Request Smuggling: Discovering a Critical Vulnerability in Thousands of Google Cloud Websites — это важный вклад от Paolo Arnolfo, Guillermo Gregorio и @medusa_1.

Новая техника эксплуатации HTTP Request Smuggling TE.0 похожа на CL.0, только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. При эксплуатации, сервера, обрабатывающие запрос, который начинается с number + newline, подвержены данной атаке, например Google Cloud - эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy).

4. WorstFit: Unveiling Hidden Transformers in Windows ANSI

Преобразование кодировок — это минное поле, но почему-то это редко встречается в реальных эксплойтах. В WorstFit: Unveiling Hidden Transformers in Windows ANSI Orange Tsai и splitline доказывают мощь этого класса атак, получая множество CVE.

5. Exploring the DOMPurify library: Bypasses and Fixes

HTML-санитизация была проблемой для эксплуатации XSS на протяжении многих лет, и библиотека DOMPurify от Cure53 стала практически единственным защитным решением, которое действительно позволяет очищать input-ы.

Exploring the DOMPurify library: Bypasses and Fixes глубоко погружается в внутренности парсинга HTML в браузерах, обнаруживая и применяя новые примитивы для мутированных XSS (mXSS).

6. DoubleClickjacking: A New Era of UI Redressing

DoubleClickjacking: A New Era of UI Redressing представляет собой вариацию Clickjacking, которая обходит практически все известные меры защиты. Эта статья вызвала споры среди экспертов, так как она кажется простой и очевидной в ретроспективе, но заняла высокое место благодаря своей неоспоримой ценности.

7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js

Редко когда единичная, уже исправленная уязвимость попадает в топ-10, но это открытие Thomas Rinsma исключительно. PDF.js широко используется как библиотека, что делает его влияние огромным и труднопредсказуемым. Это исследование — качественный анализ упущенной поверхности атаки, подрывающий предположения о том, где злоумышленник может получить точку опоры.

8. OAuth Non-Happy Path to ATO

Oxrz изложил процесс создания красивой и инновационной цепочки атак. Атакующий "ломает" OAuth-процесс, используя неправильный OAuth-путь для достижения своих целей.

9. ChatGPT Account Takeover - Wildcard Web Cache Deception

Техника Web Cache Deception впервые появилась на 2-м месте в топе веб-техник взлома 2017 года и с тех пор активно развивается.

В статье ChatGPT Account Takeover - Wildcard Web Cache Deception Harel представляет новое развитие этой техники, используя несоответствия в декодировании для выполнения path traversal и выхода за пределы предполагаемой области действия кэша. Существует таск в лаборатории в Web Security Academy на основе этой техники.

10. Hijacking OAuth flows via Cookie Tossing

Elliot Ward представил новое применение недооцененной техники Cookie Tossing. Это исследование было вдохновлено более ранней публикацией Thomas Houhou. Cookie Tossing — это метод, позволяющий одному поддомену (например, bla.example.com) устанавливать файлы cookie на своем родительском домене (например, example.com). Эта атака может позволить проведения успешных атак с контролируемого поддомена (и размещения пейлоада), сервисов, которые предоставляют такую возможность.

Данные техники атак представляют собой передовые исследования и могут стать хорошей основой для изучения и применения в багбаунти, тестировании на проникновение сайтов и защите веб-приложений.