Tom Ryder | 08 Temmuz 2025, 09:17 UTC
Las Vegas. Ağustos. Protokoller parçalanıyor.
Bu yaz Portswigger, Portswigger ve Burp Suite’in arkasındaki ekiplerle tanışmanın bir dizi yeni görüşmesi, etkinlikleri ve yollarıyla Black Hat USA ve Def Con 33’e geri dönüyor.
Bu yıl cesur bir mesajımız var:
HTTP/1.1 ölmeli.
Portswigger Research’in ilk kez ana akım dikkatine olan talep kaçakçılığı getirmesinden bu yana altı yıl geçti, bu saldırıları azaltma girişimleri en iyi ihtimalle etkisiz olduğunu ve bazı durumlarda durumu daha da kötüleştirmek için tekrar tekrar etkisiz olduğunu kanıtladı.
Talep kaçakçılığının HTTP/1.1 protokolünde doğal bir kusur olduğunu kabul etme zamanı ve bu nedenle kullanımı kendi başına bir güvenlik açığı olarak düşünülmelidir.
Devam eden riskle mücadele etmek için yeni araştırma ve araçlar
Portswigger’ın araştırma direktörü Black Hat ve Defcon33’te James Kettle (@albinowax)üç büyük CDN’nin her müşterisini tehlikeye atmanın nasıl mümkün olduğunu gösterecek ve on milyonlarca web sitesini potansiyel olarak kritik saldırılara maruz bırakıyor.
Yeni desync saldırı sınıfları ve kaçakçılık güvenlik açıklarını her zamankinden daha kolay ve güvenilir bir şekilde belirlemenize yardımcı olacak bir araç seti ortaya çıkaracak. Sadece iki hafta içinde böcek ödüllerinde 200 bin dolardan fazla kazandığı teknikler ve araçlar.
Black Hat ve Defcon33 kapsamımıza girin33:
- Başkalarının kullanmadığı son teknoloji kaçakçılık tekniklerini öğrenin (henüz)
- CDN’lerde ve kenar altyapısındaki kritik kusurları tanımlamak için ücretsiz bir araç seti
HTTP/1.1’i kasıtlı olarak kullanıyor olun, ister CDN’nizin altyapısının sınırlamaları nedeniyle zorlanıyor olun, endüstriyi bu savunmasız, eski teknolojiyi gün batımına zorlamak istiyoruz. Güvenli bir web istiyorsak, HTTP/1.1 ölmeli!
Nerede izlenir:
- Black Hat ABD – 6 Ağustos
- DEF CON 33 – 8 Ağustos (Değişikliğe tabi)
- Portswigger Post -con akışı – TBD
Def Con Workshop: Gelişmiş HTTP Kaçakçılık Sömürü
Bu oturumda, Martin Doyhenard (@tincho_508) HTTP’yi akış seviyesinde nasıl inceleyeceğinizi göstererek, geleneksel araçların kaçırdığı ve onları güçlü istismarlara dönüştürdüğü gizli davranışları ortaya çıkaracak. Gizli vekilleri nasıl tespit edeceğinizi, bağlantıları desenkronize etmek, kaçırma isteklerini ve geleneksel araçlardan kaçan güvenlik açıklarını ortaya çıkarmak için ince hatalardan nasıl yararlanacağınızı öğreneceksiniz.
Gerçek dünya vaka çalışmaları sayesinde Martin, diğerlerinin geride bıraktığı ödülleri güvence altına almak için gelişmiş HTTP desync saldırılarını nasıl zincirleyebileceğinizi ve karmaşık ağ mimarilerini oyun alanınıza dönüştürebileceğinizi tam olarak ortaya koyuyor.
Uygulama katmanının ötesine vuran arsenal araçları
Sadece araştırma getirmiyoruz, sizi modern web güvenliği için inşa edilmiş araçlarla silahlandırıyoruz.
HTTP Raider
Martin Doyhenard (@tincho_508) – Siyah şapka cephaneliği | 6 Ağustos 1: 00–1: 55
Proxy’niz size yalan söylüyor olabilir. HTTP Raider, kalıcı bağlantılar, boru hattı ve kenar altyapısında gerçekte neler olduğunu görmek için size ham akış seviyesi erişimini sağlar.
Bir Burp Suite uzantısı olarak inşa edilmiş, size yardımcı olur:
- Tarayıcıların gördüklerinin ötesine geçin. Çok hızlı yönlendirme ve önbellek katmanlarının arkasına gizlenmiş hataları bulun
- Kurumsal Sistemlerde Tam Kimlik Bilgisi Hırsızlığı’nı sağlayabilecek kaçakçılık ve önbellek hatalarını belirleyin
HTTP kaçakçılığı, önbellekleme hataları veya altyapı düzeyinde saldırıları önemsiyorsanız, bu beklediğiniz araçtır.
Websocket Turbo Intruder
Zakhar Fedotkin (@D4D89704243) – Siyah şapka cephanelik | 6 Ağustos 1: 00–1: 55
WebSocks her yerde ama onları test etmek onları bir acı oldu. Bu şimdi Websocket Turbo Intruder ile bitiyor.
Kaputun altında, Websocket Turbo Intruder:
- Ölçekli WebSockets ve diğerlerinin kaçırdığı derin protokol düzeyinde hatalar bulun
- Derin komut dosyası becerileri olmadan bile karmaşık, çok aşamalı webok saldırılarını kolaylıkla otomatikleştirin
WebSockets’i görmezden geliyorsanız, araçlar orada olmadığı için, bu geniş ve yetersiz serbest saldırı yüzeyine bakmaya başlamak için anınız.
Araştırmacılarla tanışın. Harekete katılın.
Las Vegas’ta (çok yakında ayrıntılar) gayri resmi bir buluşmaya ev sahipliği yapıyoruz:
- Portswigger araştırma ekibiyle doğrudan konuşun
- Burp Suite hakkında fikirleri ve geri bildirimleri paylaşın
- Exclusive Swag alın: Tees, Çıkartma ve Yalnızca Etkinlik Sürprizleri
Araştırma Nerdery’nin bir tarafı ile dostça bir mekân olarak düşünün.
2024 Ödüllerinin En İyi 10 Web Hacking Tekniği
En iyi 10 girişin her biri için bireysel ödüllerle 2024’teki en iyi 10 web hackleme tekniğinin arkasındaki araştırmacıları tanımaktan heyecan duyuyoruz.
Her yıl, dünyanın her yerinden güvenlik araştırmacıları bulgularını paylaşıyor. Araştırmaları sadece bireysel yenilikleri için değil, aynı zamanda yeniden uygulama veya yeni yollarla uyarlanma potansiyelleri ile tanınır ve web güvenliğinin sınırlarını zorlamaya yardımcı olur.
Bu yıl inanılmaz araştırmalar ve yoğun bir rekabetle şaşırtıcı bir 121 adaylık gördü.
Bu yıl bir resmi ödül törenine ev sahipliği yapacağız. Bu alanı izleyin.
2024’teki en iyi 10 web hackleme tekniğini buradan okuyun.
Sırada ne olacak
Bu yaz kanallarda tam spektrumlu bir lansmanla büyüyoruz:
- Özel teknik derin dalışlar
- Yeni Ortaklıklar
- Vegas’tan canlı kapsam
- Vegas’ta Portswigger ile tanışmanın daha fazla yolu
- İstek kaçakçılık becerilerinizi keskinleştirmenizi ve yeni araçları güvenli bir ortamda test etmenizi sağlayan yeni bir Akademi Laboratuvarı
- Olay sonrası yazı, demolar ve sahne arkası hikayeleri
- Portswigger anlaşmazlığı üzerindeki etkileşimli tartışmalar ve olay sonrası münhasırlar
Bir ritmi kaçırmayın
Sosyal medya kanallarımız aracılığıyla her şeyi size getireceğiz, bu yüzden katılmıyorsanız, Portswigger’dan çığır açan araştırmaya ve araçlara hala erişebilirsiniz.
Eylemi gerçek zamanlı olarak takip edin:
Erken özel içerik ve tüm eylemin ön sıradaki koltuğu alacaksınız.
Vegas’a yapamıyor musunuz? #Burpontour ve Black Hat ve Defcon33’ten canlı güncellemelerle birlikte takip edin.