Parme Warn Inter, AC Milan et la Juventus: «Clubs étrangers» veulent…

Prossé par Ésabeth Corne parce qu’elle a fermé ses écoles, maire…

Wesss Rule, 20 ans, Idahous Ampo a demandé, veut être des pompiers

Internet

Top 10 des techniques de piratage Web de 2021

Lire aussi :

Sautez et grimpez à l’intérieur d’un immense…

Airtel Zambia et ZIBC proposent aux PME des appareils…

Bouilloire James

1ee8 article web hacking techniques 2021 results article

Bienvenue dans le Top 10 des (nouvelles) techniques de piratage Web de 2021, la dernière itération de notre effort communautaire annuel pour identifier les recherches les plus importantes sur la sécurité Web publiées au cours de la dernière année.

Depuis le lancement du processus de sélection en janvier, la communauté infosec a nominé 40 articles de recherche, puis a voté sur leurs favoris pour réduire la liste à 15 candidats au tour final. Enfin, un groupe d’experts composé de moi-même et d’éminents chercheurs Nicolas Grégoire, Soroush Daliliet Descripteur de fichier ont voté sur les 15 finalistes pour créer le top 10 officiel. Comme d’habitude, nous n’avons pas exclu la recherche de PortSwigger, mais les panélistes ne peuvent pas voter pour quoi que ce soit auquel ils sont affiliés.

La qualité de la recherche cette année a été franchement exceptionnelle – c’est l’année la plus solide que j’ai vue depuis mon implication en 2015. Cela a conduit à une concurrence féroce pour le top 10 et à de nombreux articles de recherche de haut niveau manquants. Je nomme généralement quelques-uns de mes finalistes préférés, mais cette année, il y en a tellement que ce serait injuste – à la place, je recommande à quiconque a le temps d’explorer la liste complète des nominations. Un grand merci à tous ceux qui ont contribué à cette vague de recherche !

Un thème particulier a dominé cette année. Dans les nominations et dans le top 10 final, nous avons mis l’accent sur la contrebande de requêtes HTTP et les attaques contre l’incohérence des analyseurs en général. À mesure que les systèmes deviennent plus complexes et plus connectés, ces menaces se multiplient. Il sera intéressant de voir où le champ de bataille de l’analyseur se déplacera lorsque l’utilisation de HTTP/1.1 commencera finalement à diminuer dans quelques décennies.

Commençons le compte à rebours !

10 – Fuzzing pour XSS via des analyseurs imbriqués

Avec un sujet séculaire comme XSS, il est trop facile de penser que vous savez déjà tout et de rejeter avec désinvolture les nouvelles recherches. Des gemmes comme Fuzzing pour XSS via des analyseurs imbriqués prouvent à quel point cela est risqué. Dans cet article sans peluches, Psych0tr1a montre comment inverser les règles de nettoyage HTML empilées avec des résultats spéculaires. Des études de cas impressionnantes et une méthodologie claire et pratique en font une recherche de premier plan.

9 – Contrebande HTTP via des versions HTTP supérieures

Au début de 2021, on pensait que HTTP/2 était largement exempt de problèmes de sécurité au-delà des attaques de synchronisation et des problèmes mineurs de DoS. Émile LernerLa contrebande HTTP via des versions HTTP supérieures a détruit ce mythe, en utilisant des outils personnalisés et des techniques innovantes pour révéler de nombreux trous dans la conversion HTTP/2 vers HTTP/1.1. Le jeu de diapositives regorge de nouvelles attaques et si vous parlez couramment le russe, assurez-vous également de consulter la présentation. Depuis, Emil a également rédigé de nouvelles découvertes terrifiantes sur HTTP/3.

8 – Contrebande d’en-têtes HTTP pratique

Une vulnérabilité peut être répandue, bien comprise et avoir un impact élevé, mais si personne ne sait comment la détecter, il peut être tentant de simplement… recentrer vos pensées sur quelque chose de plus rentable. La contrebande de demandes CL.CL rôdait discrètement dans ce créneau depuis un bon moment.

Dans Pratique de la contrebande d’en-têtes HTTP, Daniel Thatcher isole un composant central de la contrebande de requêtes HTTP et le reconstitue élégamment dans une stratégie qui permet d’identifier à la fois les vulnérabilités CL.CL et les attaques génériques d’en-tête caché, toutes intégrées dans Param Miner. Au cas où vous auriez des doutes sur la valeur de cette méthodologie, il l’illustre avec plusieurs études de cas ciblant AWS. Vous en saurez plus sur cette technique à l’avenir.

7 – Vulnérabilités d’interopérabilité JSON

JSON est connu depuis longtemps pour être un peu excentrique, mais a largement esquivé le barrage d’exploits affectant l’analyse XML. Cependant, quel que soit le format, si vous allez analyser quelque chose deux fois, les choses vont mal tourner.

Vulnérabilités d’interopérabilité JSON par Jacques Miller examine en profondeur comment déclencher les incohérences de l’analyseur JSON et où ces bizarreries généralement inoffensives peuvent devenir exploitables. Les laboratoires groupés basés sur Docker facilitent leur reproduction et leur mise en pratique.

6 – Empoisonnement du cache à grande échelle

Les études de cas font ou défont la recherche, et Cache Poisoning at Scale les a en masse. Youstin prouve que l’empoisonnement du cache Web est toujours endémique et encore largement ignoré. Les vulnérabilités DoS sont souvent rejetées par les chercheurs, mais les suppressions persistantes d’une seule demande offertes par l’empoisonnement du cache Web sont clairement prises au sérieux par de nombreuses entreprises. C’est aussi une solide démonstration de l’art d’enchaîner de minuscules incohérences avec des en-têtes secrets et des erreurs de configuration pour concocter une grave vulnérabilité.

5 – Vecteurs d’attaque OAuth cachés

Les pirates se concentrent généralement sur les terminaux qui sont soit directement visibles, soit découverts lors de la reconnaissance. Dans les vecteurs d’attaque Hidden OAuth, nos propres Michel Stepankine adopte une approche alternative et plonge profondément dans les spécifications OAuth et OpenID pour découvrir les points de terminaison cachés et les défauts de conception qui préparent le terrain pour l’énumération, l’empoisonnement de session et SSRF. Michael a également mis à jour les listes de mots de découverte d’ActiveScan++ et de Burp pour garder un œil automatisé et s’assurer que cette surface d’attaque ne passe pas inaperçue.

4 – Exploiter la pollution du prototype côté client dans la nature

Décrit par filedescriptor comme « sans doute une classe de bogues négligés car il n’est exploité qu’occasionnellement », Prototype Pollution était strictement une technique pour les passionnés jusqu’à ce qu’A tale of making internet pollution free – Exploiting Client-Side Prototype Pollution in the wild débarque.

Cette recherche phénoménale définit une méthodologie claire et perspicace pour l’identification et l’exploitation pratiques. Il est également remarquable pour le casting all-star, dirigé par s1r1us – dans les mots de Soroush « On a l’impression de regarder Avengers ! »

3 – Une nouvelle surface d’attaque sur MS Exchange

Tsaï orange est de retour dans le Top 10 pour la 5ème année consécutive, avec la série en 3 parties A New Attack Surface sur MS Exchange. Alors que la plupart des recherches se concentrent sur la découverte de classes de vulnérabilité communes à de nombreux sites Web, ce travail plonge plutôt étonnamment profondément dans une seule cible, avec des résultats catastrophiques.

L’ensemble du panel a adoré cette entrée, la décrivant comme une « une introduction sans faille à l’architecture et à la surface d’attaque d’Exchange, avec des exploits fiables et un impact énorme »une « lecture inspirante si vous voulez commencer des recherches sérieuses »et un « boite de vers » ce « a changé la façon dont beaucoup regardaient cette solution de messagerie populaire et nous a rappelé que même les applications les plus sécurisées peuvent être cassées facilement si vous êtes persistant et prêtez attention à tous les détails ».

2 – HTTP/2 : la suite est toujours pire

Neuf mois de préparation, mon propre HTTP/2 : La suite est toujours pire a eu une collision de sujets avec le travail d’Emil ci-dessus, ce qui a rendu cela plus « intéressant » qu’il n’aurait dû l’être, mais certaines percées de dernière minute ont sauvé la journée. Voici ce que les autres panélistes avaient à dire : « Vous êtes-vous déjà demandé ce qui pouvait mal tourner lors de la conversion entre les protocoles binaires et ASCII ? » « Cette recherche a tout ce dont un lecteur a besoin. Outre la recherche et le résultat proprement dits, la qualité de la rédaction, de l’outillage et de la présentation la rend très spéciale. » « Il s’agit d’une belle recherche sur la façon dont HTTP2 augmente considérablement la complexité de l’ensemble de la situation. Comme l’utilisation de HTTP2 est toujours en cours d’adoption, la contrebande de requêtes sera encore plus pertinente avec l’aide de la mise à niveau HTTP sans fin. »

Si vous appréciez cette présentation, je vous recommande fortement de consulter les autres articles de recherche de haute qualité sur la contrebande de requêtes HTTP dans la liste complète des nominations – juste la contrebande CTRL+F !

1 – Confusion de dépendance

Certaines des meilleures recherches ont une simplicité élégante qui les rend trompeusement évidentes avec le recul. Dans la confusion des dépendances, Alex Birsan expose les défauts critiques de conception et de configuration affectant les principaux gestionnaires de packages, exploitant l’ambiguïté du nom du package pour obtenir RCE sur de nombreuses grandes entreprises et gagner plus de 100 000 $ en primes. Au-delà de l’impact fou, il est également exceptionnellement bien expliqué, emmenant le lecteur tout au long du parcours de recherche.

Des discussions et des mesures d’atténuation sont toujours en cours pour cette attaque, et nous sommes vraiment curieux de voir où va cette voie de recherche. L’attaque est-elle si élégante qu’elle ne peut pas être améliorée ? Ou est-ce juste le modeste début d’une nouvelle classe d’attaque persistante ? Ce que nous savons, c’est que si vous ne lisez qu’un seul article de recherche cette année, vous devriez en faire Dependency Confusion. Félicitations à Alex pour une victoire bien méritée !

Conclusion

2021 a été une très bonne année pour la recherche sur la sécurité Web.

Plus que jamais cette année, la liste des 10 meilleurs ne fait qu’effleurer la surface et nous recommandons aux passionnés de sécurité Web de lire l’intégralité de la liste des nominations. Les top 10 de l’année dernière valent également le coup d’œil ! Vous pouvez également obtenir un aperçu des meilleures recherches de cette année dès leur publication en suivant r/websecurityresearch et @PortSwiggerRes. De plus, si vous êtes intéressé à faire ce genre de recherche vous-même, j’ai écrit quelques conseils pour vous. De plus, avant de conclure, je devrais donner une mention honorifique à la nouvelle technique de piratage nominée à plusieurs reprises, connue uniquement sous le nom de « F12 ». Malheureusement, il n’a pas été retenu.

Merci encore à tous ceux qui ont participé ! Sans vos nominations, vos votes et surtout vos recherches, cela ne serait pas possible.

Jusqu’à la prochaine fois!

Retour à tous les articles

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Sautez et grimpez à l’intérieur d’un immense réseau de…

Airtel Zambia et ZIBC proposent aux PME des appareils Internet…

La femme de Jelly Roll dénonce les bébés trolls d’Internet…

Que se passe-t-il en 60 secondes sur Internet ?

Spatial Computing – Lai Yi Ohlsen – How Tall is the…

Visions concurrentes pour l’avenir d’Internet : la…

1 De 366

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite