Adam Bannister 10 Şubat 2023, 14:56 UTC
Güncellendi: 10 Şubat 2023, 14:58 UTC
Tek oturum açma ve talep kaçakçılığı, web güvenliği araştırması için başka bir yıldız yılında ön plana çıkıyor
Detectify’ın kurucusu Frans Rosén, ‘Oturum açma OAuth akışlarında kirli dans kullanarak hesap ele geçirme’ ile PortSwigger’in 2022’nin en iyi 10 web korsanlığı tekniği arasında birinci oldu.
Temmuz ayında yayınlanan araştırma, PortSwigger araştırma direktörü James Kettle tarafından bir blog yazısında “rastgele postMessages, üçüncü taraf XSS ve URL depolama dahil olmak üzere düşük etkili URL sızıntısı gadget’ları ile OAuth tuhaflıklarını zincirlemede bir ustalık sınıfı” olarak selamlandı. sonuçlar Çarşamba (8 Şubat).
Kettle, “Bu hataların çoğu, daha önce önemli bir güvenlik etkisi olmadığı için reddedilirdi, bu nedenle çoğalmaları için yıllar geçti,” diye ekledi.
KAÇIRMAYIN 2022’nin en iyi 10 web korsanlığı tekniği
Araştırmacı Rosén’i “önümüzdeki yıllarda meyve vermesini umduğumuz olağanüstü bir araştırma” ürettiği için övdü.
Rosén söyledi günlük yudum: “Yıl boyunca pek çok harika araştırmacı ve onların harika gönderileri arasında birinciliği bitirdiğim için gerçekten müteşekkirim ve alçakgönüllüyüm.
“Bu yıl farklı yaptığım bir şey, tek bir hata bile olmadan bir konuyu derinlemesine incelemeye başlamaktı. Bu sadece potansiyel bir konsept fikriydi.
DEVAMINI OKU OAuth’ta ‘kirli dans’: Araştırmacı, siber saldırıların hesapların ele geçirilmesine nasıl yol açabileceğini açıklıyor
“Bulgularını ve metodolojilerini kamuya açıklayan sektördeki insanları vurguladığı için PortSwigger’e tekrar teşekkürler – bence bu, sektörü ileriye taşımanın en iyi yollarından biri.”
Rosén, Nicolas Grégoire, Soroush Dalili, Filedescriptor ve Kettle’dan oluşan meslektaşlarından oluşan bir panel tarafından kazanan ilan edildi.
HTTP istek kaçakçılığında yeni bir sınır
Kettle, Black Hat USA’da sergilenen ayrı, HTTP başlık enjeksiyon araştırması için üst üste ikinci yıl gümüş madalya ve altıncı sırada yer aldı (not: panelistler kendi araştırmaları için oy kullanamazlar).
2021 sıralamasında ‘HTTP/2: The Sequel is Always Worse’ ile ikinci sırayı alan araştırmacı, bu kez Amazon ve Apache dahil hedefleri tehlikeye atmak için yeni HTTP istek kaçakçılığı vektörlerinden yararlanarak “ve nihayetinde istemci tarafı saldırısını kurbanın tarayıcıları”.
İLGİLİ Tarayıcı Destekli Desync Saldırıları: HTTP İstek Kaçakçılığında Yeni Bir Sınır
“Teknik açıdan ciddi anlamda zorlayıcı” bir araştırma olarak tanımlanan ‘Tarayıcı Destekli Desync Saldırıları’, bir yargıcın heyecanlanmasına neden oldu: “Desync solucanından (XSS solucanını anımsatan) istemci tarafı desync’e kadar olan yaratıcılık tablonun dışında”.
Kettle, istek kaçakçılığının çok yıllı çalışmasının, “HTTP/1 tamamen ortadan kaldırılana kadar” devam edecek zengin bir yeni tehdit kaynağı olduğunu öngörüyor.
Memcache enjeksiyonu ve Zimbra
Üçüncü sırada, Google’dan Simon Scannell, ticari web posta platformu Zimbra’da, saldırganların şüphelenmeyen bir kurbanın önbelleğini zehirlemesine ve açık metin kimlik bilgilerini çalmasına izin veren bir memcached enjeksiyon güvenlik açığı buldu.
DEVAMINI OKU İş e-posta platformu Zimbra, kullanıcı kimlik bilgilerini tehlikeye atan memcached enjeksiyon kusurunu yamalar
Kettle, talep kaçakçılığını da kullanan araştırmanın, “bir hedef hakkında derin bilgiye” sahip olmanın değerini gösterdiğini söyledi.
O zamanlar İsviçreli Sonar şirketi olan Scannell, araştırmasında şöyle yazmıştı: “Memcached’in paylaşılan yanıt akışlarına sürekli olarak mevcut iş öğesinden daha fazla yanıt enjekte ederek, rastgele Memcached aramalarını doğru yanıt yerine enjekte edilmiş yanıtları kullanmaya zorlayabiliriz.”
‘Sınırları zorluyoruz’
PortSwigger’in en iyi 10 web korsanlığı tekniğinin 16. yıllık baskısı, infosec topluluğu tarafından verilen oylara dayalı olarak başlangıçta 15 final turu adayına indirilen 46 adaylık rekorunu gördü.
Kettle, “tamamen yeni tekniklerin ve sınıf aralarının daha nadir hale geldiğini” kaydetti, ancak daha fazla araştırmacının “sınırları zorladığını ve bulgularını her zamankinden daha fazla paylaştığını” söyledi.
İşte kısaca ilk 10’un geri kalanı (daha derin bir döküm için James Kettle’ın gönderisini okuyun):
- 4. Felix Wilhelm’den “SAML ile Bulutu Hacking” Java imzasını doğrulamaya çalıştığında keyfi bayt kodu yürütmeyi tetiklemek için bir tamsayı kesme hatasından yararlanan bir XML belgesiyle sonuçlanır.
- 5. ‘.NET Serileştirme Bağlayıcılarını Atlamak’, Markus Wulftange DevExpress çerçevesi ve Microsoft Exchange’de uzaktan kod yürütmeye kapı açan güvenlik açıklarına neden oldu
- 6. James Kettle tarafından ‘Yanıt sırası zehirlenmesi yoluyla HTTP başlık enjeksiyonunu kritik hale getirme’ “yüksek etkili, yüksek kazançlı bir vaka çalışmasıyla uzun süredir unutulan yanıt bölme tekniğini” keşfetti
- 7. Jacopo Tediosi’den ‘Tüm Akamai Uç Düğümlerinde Dünya Çapında Sunucu Tarafı Önbellek Zehirlenmesi’ – yol boyunca bazı öncelik belirleme güçlükleriyle – bir sürü hata ödülü kazanmak için HTTP hop-by-hop başlıklarından yararlandı
- 8. Neil Madden’in “Java’daki Psişik İmzalar”ı ECDSA imzalarını taklit etmek ve JWT ve SAML gibi temel web teknolojilerinin kriptografik temelini alt üst etmek için 0 sayısını kullandı.
- 9. Medi’den ‘Uygulayıcı İstemci Tarafında Yol Geçişi Saldırıları’ artık “kendi başına bir güvenlik açığı” olarak kabul edilmesi gereken “görünür” ancak ihmal edilen bir konuyu vurgulamaktadır.
- 10. “Web3’ün Gizli Saldırı Yüzeyinden Yararlanma: Netlify’ın Next.js Kitaplığında Evrensel XSS”, Sam Curry Netlify’ın Next.js kitaplığından kaynaklanan XSS, SSRF ve önbellek zehirlenmesi ile çeşitli kripto para birimi sitelerini tehlikeye atar
ÖNCEKİ BASKI Bağımlılık karmaşası, 2021 için PortSwigger yıllık web korsanlığı listesinin başında geliyor