Portswigger опубликовал топ-10 техник для веб-хакинга за 2023 год

Это уже семнадцатая ежегодная подборка от Portswigger. В этот раз в десятку лучших вошло исследование Сергея Боброва из «Лаборатории Касперского», посвященное эксплуатации уязвимостей HTTP Request Splitting.

В этом году сообщество и эксперты Portswigger признали наиболее полезными и интересными следующие работы:

1. Smashing the state machine: the true potential of web race conditions
2. Exploiting Hardened .NET Deserialization
3. SMTP Smuggling – Spoofing E-Mails Worldwide
4. PHP filter chains: file read from error-based oracle
5. Exploiting HTTP Parsers Inconsistencies
6. HTTP Request Splitting vulnerabilities exploitation
7. How I Hacked Microsoft Teams and got $150,000 in Pwn2Own
8. From Akamai to F5 to NTLM... with love.
9. Cookie Crumbles: Breaking and Fixing Web Session Integrity
10. Can I speak to your manager? Hacking root EPP servers to take control of zones

Занявший шестое место Сергей Бобров, старший специалист по анализу защищенности «Лаборатории Касперского», рассказал об уязвимостях разделения HTTP-запросов, которые часто встречаются в nginx и могут быть «золотой жилой для хакеров». С русскоязычной версией исследования можно ознакомиться в этом видео.

Голосование за лучшие исследования традиционно проходит в два этапа. На первом – голосует сообщество, затем 15 наиболее рейтинговых работ проходят оценку экспертного жюри.

Ознакомиться с саммари по каждой из статей и найти ссылки можно на сайте.