Portswigger опубликовал топ-10 техник для веб-хакинга за 2023 год

20.02.2024

Это уже семнадцатая ежегодная подборка от Portswigger. В этот раз в десятку лучших вошло исследование Сергея Боброва из «Лаборатории Касперского», посвященное эксплуатации уязвимостей HTTP Request Splitting.

В этом году сообщество и эксперты Portswigger признали наиболее полезными и интересными следующие работы:

Smashing the state machine: the true potential of web race conditions
Exploiting Hardened .NET Deserialization
SMTP Smuggling – Spoofing E-Mails Worldwide
PHP filter chains: file read from error-based oracle
Exploiting HTTP Parsers Inconsistencies
HTTP Request Splitting vulnerabilities exploitation
How I Hacked Microsoft Teams and got $150,000 in Pwn2Own
From Akamai to F5 to NTLM... with love.
Cookie Crumbles: Breaking and Fixing Web Session Integrity
Can I speak to your manager? Hacking root EPP servers to take control of zones

Занявший шестое место Сергей Бобров, старший специалист по анализу защищенности «Лаборатории Касперского», рассказал об уязвимостях разделения HTTP-запросов, которые часто встречаются в nginx и могут быть «золотой жилой для хакеров». С русскоязычной версией исследования можно ознакомиться в этом видео.

Голосование за лучшие исследования традиционно проходит в два этапа. На первом – голосует сообщество, затем 15 наиболее рейтинговых работ проходят оценку экспертного жюри.

Ознакомиться с саммари по каждой из статей и найти ссылки можно на сайте.