原文: https://portswigger.net/research/top-10-web-hacking-techniques-of-2023-nominations-open

• Ransacking your password reset tokens

  分类: 漏洞披露-Ruby

  总结：将有旧版本的 “Ransack” 库集成到 Ruby on Rails 项目中会带来重大的安全风险，可能会被利用来提取敏感信息或完全破坏应用程序。

  关键词：token 可遍历

  影响的版本: Ransack < 4.0.0 , 2022-02-10 发布修复

• mTLS: When certificate authentication is done wrong

  分类: 漏洞披露-Java

  总结: 某些 java 实现证书验证有问题

  个人评价: 又一个水论文、会议的, 谁在乎证书错误 ?

• Smashing the state machine: the true potential of web race conditions

  分类: 脆弱性分析-竞态条件

  总结：又一次对竞态条件产生的问题的探索 ，'everything is multi-step' , 从异步的角度思考网络请求。

  个人评价: 有趣的尝试，投入产出比较低。

• Bypass firewalls with of-CORs and typo-squatting

  分类: 利用思路-供应链攻击

  总结: 通过域名的拼写错误和 CORS 可以偷数据

  个人评价: 有趣的尝试, 对个人来说成本太高了，毕竟黑入Tencent 只需要一个 oa.com

• RCE via LDAP truncation on hg.mozilla.org

  分类: 漏洞披露-Python

  总结: Python 命令注入

  个人评价: 标题党, 和 LDAP 没啥关系

• Cookie Bugs - Smuggling & Injection

  分类: 绕过思路-前端

  总结: 提出了一个新思路, 寻找可控的 cookie 注入点，通过服务端下发的 cookie 影响浏览器行为

  个人评价: 又一个出题的知识点

• OAuth 2.0 Redirect URI Validation Falls Short, Literally 总结:

  分类: 脆弱性分析-身份认证

• Prototype Pollution in Python

  分类: 安全研究-Python

  总结: 在使用 python 进行字典合并时，如果输入是不可信的，可能会发生意料之外的事情，在极端场景下甚至能 RCE

  个人评价: 拓展了代码审计的思路

• Pretalx Vulnerabilities: How to get accepted at every conference

  分类: 漏洞披露-python

  关键词: 任意文件读，受限的文件写

  影响版本: pretalx < 2.3.2

• 10. From Akamai to F5 to NTLM... with love.

  分类: 漏洞披露-CDN

  总结: 使用请求走私和缓存投毒攻击 Akamai 和 F5 ，手把手的指导如何发现请求走私相关漏洞 ， 最终通过缓存投毒可以偷取用户的 NTML凭据。

  个人评价: amazing , 我也低估了请求走私和缓存投毒在 CDN架构下的影响。

• can I speak to your manager? hacking root EPP servers to take control of zones

  分类: 漏洞披露-EPP (Extensible Provision Protocol of DNS register)

  总结: 运行着 EPP 服务的服务器并没有想象中那么安全，他们会被 EEP 的开源实现（ CoCCA ，Nomulus 和 Fred ）影响

  个人评价: 真实世界的攻击果然朴实无华

• Blind CSS Exfiltration: exfiltrate unknown web pages

  分类: 利用思路-前端漏洞

  总结: 使用 CSS 注入偷取网页中的数据

  个人评价: 又一个 CTF考点，主要是太慢了

• Server-side prototype pollution: Black-box detection without the DoS

  分类: 安全开发-漏洞检测

  总结: Burp Suite 扩展中实现检测服务端原型链污染, 并且尽量不影响服务的正常运行

  个人评价: 辛苦了

• Tricks for Reliable Split-Second DNS Rebinding in Chrome and Safari

  分类: 利用思路-DNS重绑定

  总结: 在 Chrome 和 Safari 中实现可靠的瞬间 DNS 重新绑定的技巧, 在 Safari 中使用了两个 DNS 服务器返回两次相应， 在 Chrome 中使用了 ipv6 地址和绕过 PNA（ Private Network Access ） 的手法。

  个人评价: 一个 CTF 和骗洞知识点

• HTML Over the Wire

  分类: 脆弱性分析-FROW( Fragments over the Wire )

  总结: 使用链接偷 CSRF

  个人评价: 标题党，他老婆真好看

• SMTP Smuggling - Spoofing E-Mails Worldwide

  分类: 错弱性分析-SMTP

  总结: 使用 CRLF 注入，走私了 SMTP 请求，导致发送者的伪造。

  个人评价: 历史悠久的邮件协议又遭受了挑战

• DOM-based race condition: racing in the browser for fun

  分类: 利用思路-XSS的利用

  总结: 通过创建连接池影响 js 加载顺序最后影响执行逻辑

  个人评价: 一个 CTF 考点

• You Are Not Where You Think You Are, Opera Browsers Address Bar Spoofing Vulnerabilities

  分类: 漏洞披露-Opera

  总结: 使用开放重定向和滥用拓展权限

  个人评价: 黑产会很喜欢的洞

• CVE-2022-4908: SOP bypass in Chrome using Navigation API

  分类: 漏洞披露-Chrome

  总结: 使用 navigation.entries() 和 about:blank 部分绕过同源策略，在当前 tab 获取其他子域下的浏览记录

  个人评价: 标题党，奇妙的 BUG

• 20. SSO Gadgets: Escalate (Self-)XSS to ATO

  分类: 工具-SSO

  总结: 一个将 XSS 和 CSRF 升级到账户接管的小工具

  个人评价: 又一个挖洞辅助工具，但可能没有那么有用

• Three New Attacks Against JSON Web Tokens

  分类: 脆弱性分析-JWT( JSON Web Token)

  总结: 水论文

• INTRODUCING WRAPWRAP: USING PHP FILTERS TO WRAP A FILE WITH A PREFIX AND SUFFIX

  分类: 利用思路-PHP

  总结: 使用 PHP filter 构造 json 和 xml 格式的返回，并且带上系统资源

  个人评价: 辛苦了, 法国的安全公司好少见

• PHP FILTER CHAINS: FILE READ FROM ERROR-BASED ORACLE

  分类: 利用思路-PHP

  总结: php://filter 盲注

  个人评价: CTF 思路

• SSRF Cross Protocol Redirect Bypass

  分类: 漏洞披露-SSRF

  关键词: node-request, SSRf

• A New Vector For “Dirty” Arbitrary File Write to RCE

  分类: 利用思路-RCE

  总结: 通过一个多态的 pdf.ini 文件注入了 uWSGI 配置然后执行命令

  个人评价: 有用的思路

• How I Hacked Microsoft Teams and got $150,000 in Pwn2Own

  分类: 漏洞披露-MS Teams

  总结: 通过泄露 CI(Context Isolation)， XSS 和 mathjs RCE 进行沙河逃逸和命令执行

  个人评价: Gooood Job, 俺也想挖一个 150K 的

• AWS WAF Clients Left Vulnerable to SQL Injection Due to Unorthodox MSSQL Design Choice

  分类: 漏洞披露-AWS

  总结: 利用 AWS实现的特性绕过 （不存在）WAF

  个人评价: 骗洞的

• https://www.wiz.io/blog/azure-active-directory-bing-misconfiguration

  分类: 漏洞披露-Azure

  总结: 后台配置错误导致非MS 的人可以配置 bing 的搜索结果，甚至能XSS用户

  个人评价: 捡洞真爽，这就是现实世界的严重漏洞

• MyBB Admin Panel RCE CVE-2023-41362

  分类: 漏洞披露-MyBB

  关键词: 后台RCE, 正则回溯

  影响版本: MyBB < 1.8.36

• 30. Source Code at Risk: Critical Code Vulnerability in CI/CD Platform TeamCity

  分类: 漏洞披露-TeamCity

  关键词: 权限控制绕过

  影响版本: TeamCity < 2023.05.3

• Code Vulnerabilities Put Skiff Emails at Risk

  分类: 漏洞披露-Skiff

  总结: 利用 js parser 的错误修复机制和 Skiff 的业务逻辑绕过 xss sanitizer 进行一个XSS

  个人评价: style 标签养活了前端黑客的又一个案例

• How to break SAML if I have paws?

  分类: 安全研究-协议研究-SAML

  总结: 介绍了 SAML 协议相关的基础知识

  个人评价：又一个水会议的

• 水 JAVA 两则 JMX Exploitation Revisited Java Exploitation Restrictions in Modern JDK Times

  分类: 利用思路-JAVA

  个人评价: 全世界都在水 JAVA, 感谢 JAVA , 安全从业者有饭吃啦

• Exploiting Hardened .NET Deserialization

  分类: 利用思路-.NET

  总结: 若干 .NET 平台的反序列化技巧和案例

  个人评价: 我没 WIN 设备

• [Unserializable, but unreachable: Remote code execution on vBulletin](Unserializable, but unreachable: Remote code execution on vBulletin)

  分类: 漏洞披露-vBulletin

  关键词: PHP RCE, 反序列化

  影响版本: vBulletin <= 5.6.9

• Cookieless DuoDrop: IIS Auth Bypass & App Pool Privesc in ASP.NET Framework

  分类: 利用思路-.NET

  总结: .NET 存在无 Cookie功能的路由，可以绕过部分 .NET 应用的访问控制

  个人评价: 一个捡洞的姿势, 甚至能捡两次

• Hunting for Nginx Alias Traversals in the wild

  分类: 利用思路-Nginx

  总结: 使用 GitHub 搜索NGINX 的错误配置，然后利用错误的配置读取私有文件

  个人评价: 漏洞赏金 500$ ，哈哈哈

• DNS Analyzer - Finding DNS vulnerabilities with Burp Suite

  分类: 安全工具-DNS

  总结: 一个运行在 Burp Suit 上的 DNS 分析插件

  个人评价: 要 Burp Suite Professional 的

• Oh-Auth - Abusing OAuth to take over millions of accounts

  分类: 利用思路-Oauth

  总结: 校验第三方颁发的 token 没检查 APPID

  个人评价: 这业务代码确实能用

• 40. One Scheme to Rule Them All: OAuth Account Takeover

  分类: 利用思路-Oauth

  总结: 签发 token 时使用了非主键

  个人评价: 这确实也能用

• Exploiting HTTP Parsers Inconsistencies

  分类: 利用思路-HTTP 协议

  总结: 不同 web 服务器解析 url 路径存在差异

  个人评价: CTF 考点, 云服务漏洞挖掘知识点

• New ways of breaking app-integrated LLMs

  分类: 利用思路-LLM

  总结: 介绍了一个新的绕过 LLM 限制的思路：间接提示器注入

  个人评价: LLM 的攻防越来越有想象力了

• State of DNS Rebinding in 2023

  分类: 利用思路-SSRF

  总结: 介绍了 DNS 重绑定的绕过技术

• Fileless Remote Code Execution on Juniper Firewalls

  分类: 漏洞披露-Juniper Firewalls

  关键词: 配置注入，auto_prepend_file

• Thirteen Years On: Advancing the Understanding of IIS Short File Name (SFN) Disclosure!

  分类: 安全研究-.NET

  总结: 使用 IIS 短文件名遍历敏感文件

  个人评价: 10 年老姿势

• Metamask Snaps: Playing in the Sand

  分类: 安全研究-metamask

  总结: 介绍了 metamask snap 的工作原理和攻击思路

  个人评价: 好玩

• Uncovering a crazy privilege escalation from Chrome extensions

  分类: 漏洞披露-Chrome ext

  总结: chrome.debugger 被滥用,运行 chrome://downloads 代码, 然后打开 exe

  个人评价: 膜拜，这黑客好细心

• Code Vulnerabilities Put Proton Mails at Risk

  分类: 漏洞披露-Proton

  总结: 利用 proton 自定义标签导致 html渲染异常，最后XSS

  个人评价: 学到了

• 50.https://infosecwriteups.com/hacking-into-grpc-web-a54053757a45

  分类: 挖洞技巧-gRPC

  总结: 编写 gRPC burpsuit 扫描拓展对 gRPC服务进行扫描

  个人评价: 好工具，拓展了 web 黑客的能力边界

• Yelp ATO via XSS + Cookie Bridge

  分类: 漏洞披露-yelp.com

  关键词: XSS, ATO

  个人评价: 熟悉的和甲方拉扯（撕逼）

• HTTP Request Splitting vulnerabilities exploitation

  分类: 利用手法-HTTP Request Splitting

  总结: 利用 nginx 的错误配置注入换行符，影响后端或者前端的正常逻辑

  个人评价：往往用来过 CSP/HTTPOnly

• XSS in GMAIL Dynamic Email

  分类: 漏洞披露-GMAIL

  总结：使用 GMAIL 支持的 AMP标签和前端解析差异 XSS

  个人评价：style 又养活了前端黑客，根因还是业务逻辑需要为特定标签属性加白名单

• Technical Advisory – Azure B2C – Crypto Misuse and Account Compromise

  分类: 漏洞披露-Azure

  总结: Azure B2C 中OAuth 的refresh_token 实现存在缺陷，RSA 签名时使用公钥

  个人评价: 6

• Refresh: Compromising F5 BIG-IP With Request Smuggling | CVE-2023-46747

  分类: 漏洞披露-F5 BIGIP

  总结: 使用请求走私绕过身份认证，恶意调用 AJP 功能，最后创建管理员和执行系统命令

  个人评价: JAVA 真是逊啦

• EmojiDeploy: Smile! Your Azure web service just got RCE’d

  分类: 漏洞披露-Azure

  总结： 通过 CSRF 将恶意 zip 包部署到受害者的 Azure 上

  个人评价: 一个提高漏洞评级的姿势

• One Supply Chain Attack to Rule Them All – Poisoning

  分类: 漏洞披露-Github

  总结： CI 的默认配置导致的灾难，贡献者就可以运行仓库的工作流(Workflows）， 然后就可以从运行详情中偷 token了

  个人评价：如果有默认配置，用户总会选择默认配置

• draw.io CVEs

  分类：漏洞披露-draw.io

  总结：一个绕过检查导致的 SSRF 和 OAuth token 泄露

  个人评价: 挖洞确实不需要很复杂的调试工具和各种花里胡哨的 IDE, 耐心和清晰的思路更重要

• Leaking Secrets From GitHub Actions: Reading Files And Environment Variables, Intercepting Network/Process Communication, Dumping Memory

  分类: 漏洞披露-Github

  总结: 继续泄露 token

  个人评价：云安全建设的重点：秘钥保护

• 60. fuzzuli

  分类: 安全工具-信息挖掘

  个人评价：又一个浪费时间的项目

• The GitHub Actions Worm: Compromising GitHub Repositories Through the Actions Dependency Tree

  分类：利用思路-供应链攻击

  总结: 通过 Github Action 感染运行的仓库

  个人评价：好玩的思路

• From an Innocent Client-Side Path Traversal to Account Takeover

  分类: ？？？-？？？

  个人评价: 这啥？ CSDN 来的么

• tRPC Security Research: Hunting for Vulnerabilities in Modern APIs

  分类: 安全研究-tRPC

  总结：介绍了了 t(Typescript)RPC 的基础知识和路由发现思路

  个人评价：还以为是 t(encet)RPC, 哈哈哈

• Chained to hit: Discovering new vectors to gain remote and root accessin SAP Enterprise Software

  分类: 安全研究-JAVA

  总结: 使用 P4 拓展 JNDI 注入的空间

  个人评价：继续为JAVA 掘墓

• 65. AWS WAF Bypass: invalid JSON object and unicode escape sequences

  分类：利用手法-WAF 绕过

  总结：使用重复 json 对象和 unicdoe 绕过 WAF

  个人评价：终于结束啦