十大WEB网络黑客技术

本文翻译自Top 10 web hacking techniques of 2021 | PortSwigger Research。

本文所列的2021年十大WEB网络黑客技术，来源于PortSwigger Research和infosec社区。自1月份启动遴选过程以来，共有40篇研究论文的提名，然后投票缩减至15篇，最后由专家小组进行投票，选出了官方前10名。

总体来看，2021年占据了主导地位的黑客技术有2个，一是对HTTP的请求走私，二是对解析器不一致性的攻击。随着信息系统变得越来越复杂，联系越来越紧密，这些威胁也越来越多。当HTTP/1.1的使用在几十年后最终开始减少时，解析器可能会成为一个重要的黑客攻击领域。

现在，让我们来看看到底是哪10个技术被投选出来了吧！

01 依赖性混淆

在《依赖性混淆》（https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610）这篇文章中，作者揭露了影响主要软件包管理者的关键设计和配置缺陷，利用软件包名称的模糊性在众多大公司上实现了RCE，并获得了超过10万美元的奖金。

依赖性混淆，即依赖关系混淆攻击，是一种新颖的软件供应链攻击。它利用的是软件中可能包含多种私有和公开来源组件的事实，这些外部的软件包依赖关系源自build进程中的公开仓库。当攻击者将私有模块(私有模块的名称是模糊猜测出来的，比如我们公司的域名是bigdata，就能猜测私有模块名称是com.bigdata.xxx)的更高版本上传到公开仓库中时会造成攻击机会，从而导致客户端自动下载恶意“最新“版本，而无需开发人员做出任何操作。

02 HTTP/2上的独占威胁

HTTP/2很容易被误认为是一种传输层协议，可以在对其背后的网站没有任何安全影响的情况下进行交换。但在《HTTP/2: 续集总是更差》这篇文章中，作者介绍了由实现缺陷和RFC缺陷引起的HTTP/2独占威胁的多个新类别，特别是在二进制和ASCII协议之间转换时可能会出现的问题。

03 MS Exchange上的新攻击面

在《MS Exchange上的新攻击面》(https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html)这篇文章中，作者通过对单个目标进行了惊人的深入研究，完美介绍了Exchange架构和其攻击面。并提醒我们，如果你坚持不懈，关注所有细节，即使是最安全的应用程序也很容易被破坏。

04 客户端原型污染

黑客通常会认为原型污染是一个失败的漏洞，因为它很难被利用。原型污染一直是仅基于爱好研究而无法实际利用的一项技术，直到《一个让互联网无污染的故事-客户端原型污染》

（https://blog.s1r1us.ninja/research/PP）这篇文章的出现，作者证明了已经大量存在的客户端原型污染，并为识别和开发定义了一种清晰、有见地的方法。

05 隐藏的OAuth攻击向量

黑客通常专注于直接可见或在侦查过程中发现的端点。在《隐藏的OAuth攻击向量》（https://portswigger.net/research/hidden-oauth-attack-vectors）这篇文章中，作者采用了更宽广的思维，深入研究OAuth和OpenID规范，来发现隐藏的端点和设计缺陷，这些缺陷为枚举、会话中毒和SSRF奠定了基础。

06 大规模缓存中毒

案例研究决定了研究的成败，而在《大规模缓存中毒》（https://youst.in/posts/cache-poisoning-at-scale/）中就提供了大量的案例。作者证明了网络缓存中毒仍然被广泛忽视。DoS漏洞经常被研究人员唾弃，但网络缓存中毒带来的持续、单一请求的破坏已经受到了许多公司的重视。这也是一个很好的例子，展示了用秘密标头和错误配置将微小的不一致性链接起来以制造严重漏洞的技术。

07 JSON交互漏洞

JSON虽然很大程度上避开了影响XML解析的大量漏洞，然而，无论格式如何，如果你要解析两次，事情就会出错。《JSON交互漏洞》(https://bishopfox.com/blog/json-interoperability-vulnerabilities)这篇文章深入探讨了如何触发JSON解析器的不一致性，以及这些通常无害的漏洞在哪里可以被利用。

08 实用HTTP头走私

JSON虽然很大程度上避开了影响XML解析的大量漏洞，然而，无论格式如何，如果你要解析两次，事情就会出错。《JSON交互漏洞》(https://bishopfox.com/blog/json-interoperability-vulnerabilities)这篇文章深入探讨了如何触发JSON解析器的不一致性，以及这些通常无害的漏洞在哪里可以被利用。

09 通过更高版本的HTTP走私

2021年初，人们认为HTTP/2除了定时攻击和轻微的拒绝服务问题外，基本上没有安全问题。但是《通过更高版本的HTTP走私》(https://swarm.ptsecurity.com/fuzzing-for-xss-via-nested-parsers-condition/)这篇文章打破了这个神话，使用定制工具和创新技术揭示了HTTP/2到HTTP/1.1转换中的许多漏洞，同时还演示一些关于HTTP/3的新发现。

10 过嵌套解析器对XSS进行模糊攻击

XSS是一个古老的话题，但是《通过嵌套解析器对XSS进行Fuzzing》（https://swarm.ptsecurity.com/fuzzing-for-xss-via-nested-parsers-condition/)这篇文章，进行了新的研究。

所谓嵌套解析器，可以理解为存在多个HTML过滤规则。由于不同过滤规则生效的顺序和不一致性，导致特意构造的xss代码可以成功。于是可以通过模糊测试的方式，去得到这个xss的构造方式。

网络安全学习资源推荐

下面给大家整理了一些网络安全&黑客技术的学习资料，大家不想一个一个去找的话，可以参考一下这些资料哈，先上一份网安路线图！

PS：如图片过大被平台压缩导致看不清的话，可以点赞＋关注我获取，我都会回复的。

除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类；还有一些我自己买的、其他平台白嫖不到的视频教程。

视频教程

SRC&黑客技术文档

黑客工具合集

需要的可以点赞＋关注我获取哈！
全网最全《黑客&网络安全入门&进阶学习资源包》免费分享
①网络安全学习路线
②国内外网安电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥100个漏洞实战案例
⑦安全大厂内部视频

特别声明：
此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。！！！