Hace un par de años que WhiteHat Security no publicaba el top 10 de técnicas de hacking web y ya lo echábamos de menos... ahora gracias a los chic@s de Portswigger (famosos por Burpsuite) volvemos a tenerlo!

Primero organizaron una votación de entre 37 nominadas, de las cuales 15 fueron votadas por la Comunidad para que, finalmente, un panel de expertos deliberaran y seleccionaran un top 10 de las mejores técnicas de hacking web en 2017 (y también 2016).

Los principales criterios fueron cuán innovadores, generalizados e impactantes eran los técnicas, y por cuánto tiempo seguirán siendo relevantes. Estos son los resultados (del número 10 al 1):

10. Binario de webshell a través de OPcache en PHP 7

En un post de 2016, Ian Bouchard revela una técnica novedosa para bypassear el hardening y obtener con éxito RCE a través de vulnerabilidades de escritura de archivos en sistemas que ejecutan PHP 7.

9. Whitepaper de seguridad de los navegadores de Cure53

En este enorme documento técnico encargado por Google, Cure53 analiza en profundidad la seguridad de Internet Explorer, Edge y Chrome. Los capítulos 3-5 en particular contienen información interesante sobre seguridad web.

8. Codificación de peticiones para eludir WAFs

Soroush Dalili hace algunas cosas curiosas con codificaciones y solicitudes HTTP mal formadas para bypassear numerosos WAF. Desafortunadamente, no está disponible la grabación de la presentación que hizo, pero se puede obtener información a partir de dosposts y las diapositivas actualizadas.

7. Una inmersión profunda en los controles de acceso de AWS S3

Frans Rosén examina el funcionamiento interno de los buckets de S3 desde la perspectiva de un atacante y un defensor. El documento cubre numerosos escollos comunes, incluido el asombroso e hilarante "gotcha" de 'Usuarios Autenticados'.

6. Vulnerabilidades avanzadas en flash

Esta serie de publicaciones de Enguerran Gillier utiliza varias vulnerabilidades en YouTube para introducir e ilustrar varias técnicas avanzadas de explotación de Flash. Ha combinado numerosas técnicas a menudo pasadas por alto con un toque artístico en estas publicaciones sumamente bien explicadas.

5. Cloudbleed

Fue descubierta por accidente por Tavis Ormandy, solo afecta a un proveedor y apenas requiere una explotación activa. Sin embargo, tuvo un gran impacto y dejará a muchas personas atentos a las fugas de la memoria en el futuro inmediato.

Además del informe original, también vale la pena leer el forense de Cloudflare, aunque tened en cuenta que, como Taviso advierte, "minimiza severamente el riesgo para los clientes".

4. Viernes 13 de los ataques JSON

Después del "Apocalipsis" de deserialización de Java en 2016, Alvaro Muñoz y Oleksandr Mirosh realizaron un análisis exhaustivo de numerosas librerías de (des)serialización JSON para Java y .NET, proporcionando un suministro continuo de RCEs para la comunidad. Está disponible tanto una presentación como un whitepaper.

3. Ticket Trick

Ticket Trick es una técnica original de Inti De Ceukelaire que abusa de los "issue trackers" y de los centros de soporte para ingresar en sistemas que confían implícitamente en todas las direcciones de correo electrónico que terminan en un determinado dominio. Es un hermoso ejemplo de cómo sistemas independientes pueden estar completamente seguros de forma aislada pero se desmoronan cuando se combinan, y se espera que esta sea una técnica efectiva en los próximos años.

2. Web Cache Deception

Se han estado envenenando los cachés web con contenido malicioso durante años, pero Omer Gil tomó esta técnica y le dio una vuelta, encontrando una manera de manipular los cachés web para guardar los datos confidenciales de otros usuarios, y demostrándolo con Paypal. Disponible como una presentación y un whitepaper, Web Cache Deception es una técnica poderosa e imaginativa que aún funciona en múltiples caches importantes, y sospecho que proporcionará una plataforma para futuras investigaciones en los próximos años.

1. Una nueva era de SSRF

Una Nueva Era de SSRF por Orange Tsai avanza el estado del arte de la explotación de SSRF con un iceberg de técnicas nuevas para eludir las defensas de SSRF y maximizar el impacto resultante. Descrita como "impactante e innovadora" por Agarri, qué sabe bastante de SSRF, las diapositivas están exprimidas con auténticas proezas que hacen que valga la pena una segunda o tercera lectura. También presenta una de las mejores cadenas de explotación vistas hasta ahora.

Fuente: https://portswigger.net/blog/top-10-...niques-of-2017