2017年十大最有影响力的WEB黑客技术：

一、a New Era of SSRF

Orange Tsai 在该议题中绕过 SSRF 防御的创造性研究，揭开了 SSRF 漏洞利用艺术的冰山一角。这种技术最大限度发挥了隐患影响，被熟悉 SSRF 的安全专家 Agarri 描述为“极具影响力和创新性”的漏洞利用，非常值得反复体会。

其中涉及了多个漏洞的串连使用，可能算是目前最好的 Web 漏洞利用链构造了，所以该议题是实至名归的第一名。

二. Web 缓存欺骗攻击技术 – Web Cache Deception

用恶意内容毒化 Web 缓存的技术已经流行多年，但 Omer Gil 却创新地颠覆了该技术的利用方式，他通过控制 Web 缓存可以保存其它用户的敏感数据，并成功在 Paypal 中实现了攻击复现。从 Omer Gil 的演讲和报告中可以看到，Web 缓存欺骗是一项厉害且有想像力的技术，这种技术可以在多种主要的缓存机制中利用实现，为未来的深入研究提供了一个很好的基础平台。

随着应用程序安全性的不断成熟，寻找真正的新技术变得越来越难，所以在不断的演化过程中，能看到这种可证实的安全隐患，非常令人耳目一新。

三、票据欺骗 – Ticket Trick

利用企业的问题跟踪系统（ issue tracker）和支持帮助中心（support center/helpdesk），结合以公司域名为后缀的构造邮箱地址，优秀的 Web 漏洞挖掘大牛 Inti De Ceukelaire 能绕过验证机制，成功入侵目标企业网络。这是一个关于安全的一个典型例子，一些独立系统在隔离情况下确实能够保证安全，但各个系统之间进行综合应用，就会发生崩溃或漏洞，这也会是未来几年将会陆续出现的安全问题。

四. Friday the 13th: JSON Attacks

继2016年的 Java 反序列化灾难之后，HPE 安全研究者 Alvaro munioz & oleksand Mirosh 对 Java 和 .NET 的大量 JSON 序列化库进行了全面分析，为相关的 RCE 漏洞安全研究提供了可参考的内容。

五. 云出血 - Cloudbleed

谷歌安全研究者 Tavis Ormandy 违背了通常的研究规律，偶然地发现了这一不同寻常的漏洞隐患。该隐患技术中，一开始受影响的厂商只有 Cloudflare 一家，但却造成了 CloudFlare 客户如 Uber、OK Cupid、Fitbit 等互联网公司的用户密钥和敏感信息泄露，影响巨大，让人记忆犹新。除了 Tavis Ormandy 的技术分析报告之外，Cloudflare 的 事后分析声明也值得阅读，正如 Taviso 警告的那样，它“严重低估了对客户造成的影响风险”。

六. 高级 Flash 漏洞利用系列 - Advanced Flash Vulnerabilities

这是由 Opnsec 研究员 Enguerran Gillier 发现并在 YouTube 上演示的一系列 Flash 漏洞利用技术，Enguerran 将许多通常被忽视的技术进行了艺术性地结合利用，并详细地解释在其博客文章中。

七. AWS S3 存储桶的访问控制分析 - A deep dive into AWS S3 access controls

顶尖 Web 白帽 Frans Rosén 从攻防角度对 AWS 的 S3 存储桶内部机制进行了分析研究，研究中发现了 S3 存储桶的一些常见缺陷，以及像 ‘AuthenticatedUsers’ 的类似编程错误。美国无线通信公司 Verizon 的大规模数据泄露事件中，攻击者利用的就是 S3 存储桶的访问控制缺陷实施攻击的。

八. 利用 HTTP 请求编码绕过 WAF – Request Encoding to bypass web application firewalls

NCCGroup 技术研究员 Soroush Dalili 通过构造编码和恶意 HTTP 请求对 WAF 开展了大量有效的绕过试验，我们可以从其发表的博客和报告中来一睹究竟。

九. 浏览器安全白皮书 – Cure53 – Browser Security Whitepaper

Cure53 的研究员通过深入分析，对 IE、Edge 和 Chrome 浏览器的安全机制进行了全方位总结和介绍，其中第3和第5章节中涉及了一些精彩的 web 安全知识。

十. 利用 PHP7 的 OPcache 执行 PHP 代码 – Binary Webshell Through OPcache in PHP 7

在2016年，加拿大拉瓦尔大学学生 Ian Bouchard 发现了一种新技术，可以在运行有 PHP7 的系统中，利用文件写入漏洞绕过安全机制并成功实现 RCE 漏洞。

2018年十大最有影响力的WEB黑客技术：

十、用跨站搜索（XS-Search）在谷歌问题跟踪平台实现敏感信息获取

Luan Herrera的这篇漏洞writeup，非常直接地点题：跨站搜索（XS-Search），对，这种类似于边信道的攻击，通过向目标站点发送搜索请求，结合特定搜索功能，根据响应时间差异（XS-Timing），来消除不稳定的网络延迟，判断目标服务端隐私信息的准确性，间接绕过”同源策略“影响，是一种新型的Web攻击方式。在可搜索信息量较大，或目标服务端搜索功能多样化的场景下，是一种有效的信息获取手段。在未来，将会出现更多的XS-Search漏洞。

九、通过公式注入（Formula Injection）的数据渗漏

安全研究员Ajay和Balaji通过研究谷歌表格（Spreadsheet）和LibreOffice，发现了其中的一系列数据渗漏（Data Exfiltration）技术。这些技术手段可能没有排名靠前的技术议题亮眼，但却非常实用上手，对于验证此类型漏洞来说非常有用。

如果你想确切知道恶意电子表格与web安全的关系，你可以仔细查看其中的逗号分隔漏洞（Comma Separated Vulnerabilities）。当然，还有2018年首次被发现的服务端公式注入漏洞。

八、Prepare(): 一种新的WordPress漏洞利用方式

WordPress应用广泛，算是一个比较全面复杂的内容管理系统了，以至于对它的每个漏洞利用都能成为一门独立学问。安全研究员Robin Peraglie分享了他基于Slavco Mihajloski对PHP反序列化漏洞的分析，深入研究了WordPress中double prepared statements的漏洞利用。

七、利用本地DTD文件（文档类定义文件）实现XXE漏洞利用

对Blind XXE的漏洞利用，通常需要依赖于是否可以加载外部文件或攻击者托管文件，而且有时候，存在漏洞的服务端还会被防火墙把出站流量阻拦。如何在这种常规漏洞利用中创新方式方法呢？安全研究员Arseniy Sharoglazov分享了他自己非常有创意的一种XXE利用方法，那就是通过对本地DTD文件的利用去绕过防火墙的检测机制。

尽管这种漏洞利用方法仅对某几种特定的XML解析器和配置方式有效，但一旦攻击成功，其威胁影响远超一般的DoS，可以形成对目标服务器的完全控制。而且，在Twitter上，网友还对这种方法做出一种更灵活的改进。

六、一种PHP反序列化漏洞：利用phar协议结构扩展PHP反序列化漏洞攻击面

此前可能小范围的圈子知道，利用形如phar://的PHP流的封装器，对一些如file_exists()看似无害的声音操作行为进行滥用，可以触发反序列化漏洞或实现远程代码执行（RCE）。在Sam Thomas的分享中，他以实际问题和包括WordPress在内的多个漏洞测试用例入手，进行了充分的研究印证。

五、对“现代”Web技术的一种攻击方式

Web大神Frans Rosen通过一系列牛叉的研究表明，不管禁用与否，可以利用HTML5的应用缓存（AppCache）实现一系列奇妙的漏洞利用。他还在其中讨论了，利用客户端竞争条件发起的postMessage攻击。

四、NodeJS应用中的原型污染攻击

不影响PHP结构的某种特定编程语言漏洞非常厉害，Olivier Arteau在NorthSec会议上的分享就是这样的，他介绍了一种在NodeJS应用中，基于__proto__实现对目标服务器的远程代码执行攻击（RCE），这种攻击此前只适用于某些客户端应用中。作为测试来说，可以在Portswigger推出的Backslash Powered Scanner扫描插件中，通过添加__proto__ 作为规则来对目标网站进行暂时性的漏洞测试。

三、超越XSS：ESI标记语言注入（Edge Side Include Injection）

Edge Side Includes (ESI) 是一种标记语言，主要在常见的HTTP代理中使用。通过ESI注入技术可以导致服务端请求伪造（SSRF），绕过HTTPOnly cookie的跨站脚本攻击（XSS）以及服务端拒绝服务攻击。

延续了传统网络技术再次成为漏洞利用媒介的主题，Louis Dion-Marcil发现，很多流行的反向代理会被通过ESI注入方式，形成一些如SSRF的攻击。该高质量的技术议题研究揭示了很多极具威胁的漏洞利用场景，另外，其中通过JSON响应的HTML利用，表明其攻击威力远超XSS技术。

二、实战Web缓存投毒：重新定义 ‘Unexploitable’

在Portswigger技术总监James Kettle的发现分享中，他展示了如何基于隐藏的HTTP头，利用恶意内容对Web缓存进行毒化。评审组一致认为，该技术是一种 “在传统基础上出色而有深度的研究”、“原创性强且研究透彻”、“思路清晰又简洁实用”。

一、Breaking Parser Logic! Take Your Path Normalization Off and Pop 0days Out

这是白帽Orange Tsai在2018 Black Hat USA上的议题，他介绍了如何基于“不一致性”安全问题，综合利用4个功能性Bug，实现对亚马逊（Amazon）协同平台系统的远程代码执行。由于该议题技术会对当下流行的网站框架、独立服务器和反向代理类应用产生影响，考虑到其技术研究的良好实用性、强大威胁隐患和广泛影响范围，评审组一致推荐其为当之无愧的第一名。这是继2017之后，Orange Tsai又一次蝉联TOP 10榜首！

网络安全形式，一直都是如此严峻，各位网站安全管理者们，需时时警惕，用好WAF，打好补丁，时时刻刻守卫好WEB安全！