2024年十大Web黑客技术提名揭晓：创新攻击手法与防御挑战

提名活动概述

PortSwigger研究团队于2025年1月8日宣布开放2024年度十大Web黑客技术提名[citation:5]。自2006年以来，安全社区每年都会汇集全球研究人员通过博客文章、演示、概念验证(PoC)和白皮书分享的最新发现，筛选出那些真正推动Web安全边界的最具创新性、影响力和可复用性的十大技术。

时间安排

1月8-14日：收集社区对2024年度顶级研究的提名
1月15-21日：社区对提名进行投票，产生前15名候选名单
1月22日：启动专家小组投票，最终选定并排序前10名
2月04日：公布2024年度十大Web黑客技术[citation:5]

提名标准

提名应重点关注包含新颖、实用且可适用于不同系统的技术的研究。像log4shell这样的单个漏洞在当时很有价值但通常时效性有限，而诸如JNDI注入等底层技术则可以反复应用产生巨大影响。提名也可以是针对已知攻击类别的改进，例如利用本地DTD文件利用XXE漏洞[citation:5]。

部分提名技术亮点

以下是初步提名的一些代表性技术，展现了2024年Web安全领域的创新方向：

1. 缓存利用新规则：Gotta cache 'em all

通过利用URL解析差异实现任意Web缓存投毒和欺骗的新技术。

2. 有效的Web时序攻击：Listen to the whispers

通过单包同步（single-packet sync）和利用限定范围的SSRF机会等新技术，解决网络和服务器噪声问题，使HTTP/2时序攻击在各种Web环境中变得可行和有效。

3. 解析器差异利用：Splitting the email atom

利用编码词和Unicode溢出利用电子邮件解析差异，实现Web应用中的访问控制绕过和潜在RCE。

4. Apache HTTP服务器语义模糊性利用：Confusion Attacks!

利用Apache HTTP服务器模块交互中的架构缺陷，实现不安全路径访问、可预测处理程序操纵和身份验证绕过。

通过Cookie解析器中对$Version属性和引号字符串编码的旧版支持来绕过WAF。

6. CDN路径遍历混淆：ChatGPT Account Takeover - Wildcard Web Cache Deception

利用CDN和Web服务器URL解析中的路径遍历混淆，缓存敏感API端点以窃取认证令牌。

7. 开发流程攻击：Devfile file write vulnerability in GitLab

利用YAML解析器差异和tar文件提取中的路径遍历，在GitLab中实现任意文件写入。

8. 多部分解析器绕过：Breaking Down Multipart Parsers

通过利用参数处理、边界识别和内容验证方面的差异（包括重复参数、省略必要分隔符和替代编码序列）来绕过multipart/form-data解析器的文件上传验证。

9. 供应链攻击新纪元：Supply Chain Attacks: A New Era

通过精心制作的多行源映射注释绕过Lavamoat的策略文件沙箱，并通过已弃用的document.execCommand函数规避SnowJS的领域隔离。

10. 面部识别绕过：Abusing Intended Feature And Bypassing Facial Recognition.pptx

通过利用AI无法区分真人脸和深度伪造图像的缺陷来绕过面部识别系统。

技术趋势分析

2024年提名技术呈现几个明显趋势：

协议级攻击增多：更多研究关注HTTP/2、SMTP等协议的底层实现漏洞
解析差异利用：各个层级（URL、邮件、多部分数据等）的解析不一致性成为攻击新向量
WAF绕过技术成熟：出现多种系统化的WAF绕过方法
供应链攻击多样化：针对开发工具链和依赖库的攻击手法更加精细
AI安全挑战显现：开始出现针对AI系统的攻击技术[citation:5]

提交提名

要提交提名，只需提供研究的URL以及可选的简要评论说明工作的新颖性。可以随意提交多个提名，如果认为自己的工作有价值，也可以提名自己的作品[citation:5]。

结语

年度Top 10 Web黑客技术评选不仅认可了安全研究人员的重要贡献，更重要的是推动了整个Web安全领域的发展。通过识别和推广这些创新技术，安全社区能够更好地理解新兴威胁，开发更有效的防御措施，最终使互联网对每个人都更加安全[citation:5]。

关注@PortSwiggerRes获取投票阶段开始的通知。
更多精彩内容请关注我的个人公众号公众号（办公AI智能小助手）
公众号二维码

posted @ 2025-08-27 23:01 qife 阅读(12) 评论(0) 收藏举报

刷新页面返回顶部

qife122

2024年十大Web黑客技术提名揭晓：创新攻击手法与防御挑战

2024年十大Web黑客技术提名揭晓：创新攻击手法与防御挑战

提名活动概述

时间安排

提名标准

部分提名技术亮点

1. 缓存利用新规则：Gotta cache 'em all

2. 有效的Web时序攻击：Listen to the whispers

3. 解析器差异利用：Splitting the email atom

4. Apache HTTP服务器语义模糊性利用：Confusion Attacks!

6. CDN路径遍历混淆：ChatGPT Account Takeover - Wildcard Web Cache Deception

7. 开发流程攻击：Devfile file write vulnerability in GitLab

8. 多部分解析器绕过：Breaking Down Multipart Parsers

9. 供应链攻击新纪元：Supply Chain Attacks: A New Era

10. 面部识别绕过：Abusing Intended Feature And Bypassing Facial Recognition.pptx

技术趋势分析

提交提名

结语

公告

qife122

2024年十大Web黑客技术提名揭晓：创新攻击手法与防御挑战

2024年十大Web黑客技术提名揭晓：创新攻击手法与防御挑战

提名活动概述

时间安排

提名标准

部分提名技术亮点

1. 缓存利用新规则：Gotta cache 'em all

2. 有效的Web时序攻击：Listen to the whispers

3. 解析器差异利用：Splitting the email atom

4. Apache HTTP服务器语义模糊性利用：Confusion Attacks!

5. WAF绕过技术：Bypassing WAFs with the phantom $Version cookie

6. CDN路径遍历混淆：ChatGPT Account Takeover - Wildcard Web Cache Deception

7. 开发流程攻击：Devfile file write vulnerability in GitLab

8. 多部分解析器绕过：Breaking Down Multipart Parsers

9. 供应链攻击新纪元：Supply Chain Attacks: A New Era

10. 面部识别绕过：Abusing Intended Feature And Bypassing Facial Recognition.pptx

技术趋势分析

提交提名

结语

公告