erid: 2SDnje9hinm erid: 2SDnje9hinm

Portswigger опубликовал топ-10 техник для веб-хакинга за 2023 год

20.02.2024
Portswigger опубликовал топ-10 техник для веб-хакинга за 2023 год

Это уже семнадцатая ежегодная подборка от Portswigger. В этот раз в десятку лучших вошло исследование Сергея Боброва из «Лаборатории Касперского», посвященное эксплуатации уязвимостей HTTP Request Splitting.

В этом году сообщество и эксперты Portswigger признали наиболее полезными и интересными следующие работы:

  1. Smashing the state machine: the true potential of web race conditions
  2. Exploiting Hardened .NET Deserialization
  3. SMTP Smuggling – Spoofing E-Mails Worldwide
  4. PHP filter chains: file read from error-based oracle
  5. Exploiting HTTP Parsers Inconsistencies
  6. HTTP Request Splitting vulnerabilities exploitation
  7. How I Hacked Microsoft Teams and got $150,000 in Pwn2Own
  8. From Akamai to F5 to NTLM... with love.
  9. Cookie Crumbles: Breaking and Fixing Web Session Integrity
  10. Can I speak to your manager? Hacking root EPP servers to take control of zones

Занявший шестое место Сергей Бобров, старший специалист по анализу защищенности «Лаборатории Касперского», рассказал об уязвимостях разделения HTTP-запросов, которые часто встречаются в nginx и могут быть «золотой жилой для хакеров». С русскоязычной версией исследования можно ознакомиться в этом видео.

Голосование за лучшие исследования традиционно проходит в два этапа. На первом – голосует сообщество, затем 15 наиболее рейтинговых работ проходят оценку экспертного жюри.

Ознакомиться с саммари по каждой из статей и найти ссылки можно на сайте.

erid: 2SDnjc4Nt7b erid: 2SDnjc4Nt7b
Популярные материалы