اگر در حال آموزش هک هستید به ۱۰ تکنیک برتر هک وب در سال ۲۰۲۴ خوش آمدید، که نسخه ۱۸ام از تلاش سالانه جامعه محور ما برای شناسایی نوآورانه ترین و ضروری ترین تحقیقات امنیت وب منتشر شده در سال گذشته است.
این پست نتیجه همکاری سه مرحله ای با جامعه امنیتی است. در ماه گذشته:
- جامعه، تحقیقات برتر از سال ۲۰۲۴ را معرفی کرد.
- جامعه به این معرفی ها رأی داد تا فهرستی کوتاه از ۱۵ تحقیق برتر ایجاد کند.
- یک پنل کارشناسی به فهرست کوتاه رأی داد تا ۱۰ نهایی را انتخاب کرده و ترتیب آنها را مشخص کند.
امسال، جامعه ۱۲۱ تحقیق را معرفی کرد – تقریباً دو برابر تعداد سال گذشته. برای مدیریت تعداد گزینه ها در رأی گیری جامعه، من مقالاتی که در خارج از سال ۲۰۲۴ منتشر شده بودند یا خارج از حیطه امنیت برنامه های وب بودند را فیلتر کردم، و نوشتارهایی که اگرچه ارزشمند بودند، اما نوآورانه نبودند را نیز حذف کردم. حتی پس از این فیلتر، ۱۰۳ ورودی باقی ماند!
پس از رأی گیری جامعه، خوشحال شدیم که دیدیم در فهرست پانزده تحقیق برتر سه تکنیک از PortSwigger Research حضور دارند. برای جلوگیری از تکرار سال گذشته، این موارد را از رأی گیری پنل کارشناسی حذف کردم. البته، ما هنوز به این تحقیقات افتخار می کنیم و شما می توانید آنها را در اینجا مطالعه کنید:
- Gotta cache ’em all: خم کردن قوانین بهره برداری از کش وب
- Splitting the email atom: بهره برداری از پارسرها برای دور زدن کنترل های دسترسی
- Listen to the whispers: حملات زمان بندی وب که واقعاً کار می کنند
پانزده فینالیست از رأی گیری جامعه سپس توسط یک پنل کارشناسی متشکل از نیکولاس گرگوار، سروش دلیلی، STÖK، فابین (LiveOverflow) و خود من تجزیه و تحلیل و رأی گیری شدند.
امسال، یک تم واحد در پنج تحقیق برتر تسلط داشت – شاید بتوانید حدس بزنید که این تم چه بود.
بیایید شروع کنیم!
۱۰. ربودن جریان های OAuth از طریق کوکی توسیینگ
در جایگاه دهم، “ربودن جریان های OAuth از طریق کوکی توسیینگ” توسط الیوت وارد، استفاده نوآورانه ای از تکنیک کم ارزش شده ی کوکی توسیینگ را معرفی می کند. این تحقیق به طور مستقیم از یک پست قبلی توسط توماس هوهوا الهام گرفته است.
هر دو مقاله خواندنی هستند، به ویژه اگر روزی خود را با self-XSS یا XSS در یک زیر دامنه بی اهمیت گیر کرده اید. کوکی ها پیش از سیاست همان مبدا (Same-Origin Policy) که جاوااسکریپت را مدیریت می کند، ایجاد شده اند و این تحقیق نشان می دهد که با وجود دهه ها تعمیرات امنیتی از HttpOnly تا SameSite، آنها هنوز هم خطرناک هستند. شاید بهتر باشد برای توکن های جلسه به جای کوکی ها از localStorage استفاده کنید.
۹. تسلط بر حساب ChatGPT – فریب کش وب Wildcard
فریب کش وب برای اولین بار در جایگاه دوم تکنیک های برتر هک وب در سال ۲۰۱۷ معرفی شد و اخیراً شاهد توسعه سریع آن بوده ایم.
در “تسلط بر حساب ChatGPT – فریب کش وب Wildcard”، هارل پیچشی به این تکنیک اضافه می کند و از رمزگشایی ناهماهنگ برای انجام مسیر پیمایی و خروج از دامنه قوانین کش استفاده می کند. ما یک آزمایشگاه در آکادمی امنیت وب بر اساس این تکنیک ساخته ایم تا شما بتوانید آن را خودتان امتحان کنید.
ما به شدت توصیه می کنیم که تمام نوشته های این نویسنده را بخوانید – آنها الهام بخش اساسی تحقیقات خود ما در زمینه فریب کش وب بودند.
۸. مسیر غیر خوشحال OAuth به ATO
در جایگاه هشتم، “مسیر غیر خوشحال OAuth به ATO” توسط Oxrz فرآیند فکری پشت یک زنجیره حمله زیبا و نوآورانه را توضیح می دهد. STÖK به طور کامل دلیل برجسته بودن این تحقیق را بیان کرد:
“من فقط عاشق این هستم که چگونه چیزی به ظاهر بی ضرر مانند اپلیکیشنی که هدر “Referer:” دستکاری شده را قبول می کند، می تواند به تسلط کامل حساب از طریق OAuth تبدیل شود. این زنجیره به طور کامل نشان می دهد که چگونه الهام از تحقیقات قبلی (در اینجا، مقاله افسانه ای Frans Rosén در مورد Dirty Dancing) همراه با یک مطالعه عمیق در مستندات OAuth می تواند به زنجیره های حمله خلاقانه ای منتهی شود. من کاملاً این مسیر حمله را فراموش کرده بودم، اما از این به بعد بدون شک بررسی های رفرر-پایه برای هدایت ها را خودکار می کنم!”
۷. CVE-2024-4367 – اجرای جاوااسکریپت دلخواه در PDF.js
در جایگاه هفتم، یک CVE داریم! دقیقاً CVE-2024-4367 – اجرای جاوااسکریپت دلخواه در PDF.js. نادر است که یک آسیب پذیری واحد و اصلاح شده وارد ده تحقیق برتر شود، اما این کشف توسط توماس رینسما استثنائی است. PDF.js به طور گسترده ای به عنوان یک کتابخانه گنجانده شده است و تاثیر ثانویه آن هم عظیم و هم پیش بینی آن دشوار است. این تحقیق، تحلیلی با کیفیت از سطح حمله ای است که به شدت نادیده گرفته شده است و فرضیات موجود در مورد جایی که یک مهاجم ممکن است نفوذ کند را زیر سوال می برد.
اگر از شوخی های PDF این چنینی لذت می برید، توصیه می کنیم که مقالات Alex Inführ و Ange Albertini را مرور کنید.
۶. DoubleClickjacking: یک عصر جدید در UI Redressing
DoubleClickjacking: یک عصر جدید در UI Redressing یک تغییر در Clickjacking را معرفی می کند که تقریباً تمام تدابیر کاهش خطر شناخته شده را دور می زند. این ورودی باعث شد که پنل کارشناسان بحث برانگیز شود، زیرا به نظر می رسد ساده و به طور فریبنده ای آشکار است، اما همچنان جایگاه بالایی کسب کرد به دلیل ارزش خام و غیرقابل انکار آن.
در حالی که جلوه هایی از این مفهوم حمله سال ها وجود داشته است، Paulos Yibelo آن را به شکلی بی نقص اجرا کرده که نشان می دهد این واقعاً زمان مناسبی برای این حمله است. محدودیت های فریمینگ و کوکی های SameSite عملاً Clickjacking را کشته اند و عملکرد مرورگرها به سطحی رسیده است که دست کاری ها تقریباً غیرقابل مشاهده شده اند. عاشقش باشید، از آن متنفر باشید، یا فقط از این که اولین نفر نبودید که آن را کشف کردید متنفر باشید، این یک تکنیک نیست که باید نادیده گرفته شود!
۵. کاوش در کتابخانه DOMPurify: دور زدن ها و اصلاحات
سندیت سازی HTML برای دهه ها عرصه نبرد XSS بوده است و کتابخانه DOMPurify از Cure53 به طور عمده به عنوان تنها راه حل دفاعی است که واقعاً کار می کند، شناخته شده است.
کاوش در کتابخانه DOMPurify: دور زدن ها و اصلاحات به بررسی عمیق داخلی های تجزیه HTML مرورگرها پرداخته و اصول جدید mXSS (mutation XSS) را کشف و اعمال می کند. LiveOverflow این تحقیق را به عنوان “یک لذت واقعی برای خواندن” و “احتمالاً جامع ترین مقاله برای درک mXSS و نحوه تأثیر آن بر سانیتایزرهایی مانند DOMPurify” توصیف کرده است. این مقاله برای هر کسی که به JavaScript و XSS علاقه مند است، باید خوانده شود و به عنوان یک راهنمایی برای کسانی که به دنبال توسعه روش های دور زدن سندیت سازی HTML در سال های آینده هستند، مفید خواهد بود.
کار عالی توسط Mizu.
۴. WorstFit: افشای ترنسفورماتورهای پنهان در Windows ANSI
همه “می دانند” که تبدیل charset یک میدان مین مطلق است و با این حال، به ندرت در بهره برداری های واقعی دیده می شود. در WorstFit: افشای ترنسفورماتورهای پنهان در Windows ANSI، Orange Tsai و splitline قدرت واقعی این کلاس حمله را اثبات می کنند، با به دست آوردن تعداد زیادی CVE و آغاز یک بازی اتهامات میان فروشندگان در این فرایند. همیشه نشانه ای از تحقیقات بزرگ است وقتی چیزی که به نظر می رسد باید اطلاعات بنیادی پلتفرم باشد، ظاهر می شود و همه را غافلگیر می کند.
انتظار داریم که کشف های بیشتری در این زمینه مشاهده کنیم و پس از اینکه این سخنرانی را به طور زنده در Black Hat Europe مشاهده کردم، تشخیص خودکار تبدیل های سبک WorstFit را به ActiveScan++ اضافه کردم تا کمک کنم. STÖK متوجه شد که WorstFit mapping explorer یک جواهر مطلق برای تولید wordlistهای فازی است.
۳. افشای TE.0 HTTP Request Smuggling
درک جامعه از request smuggling هنوز در حال تکامل سریع است، و افشای TE.0 HTTP Request Smuggling: کشف یک آسیب پذیری بحرانی در هزاران وب سایت Google Cloud یک مشارکت مهم و ضروری برای مطالعه است از Paolo Arnolfo، Guillermo Gregorio و @medusa_1.
این تحقیق برای من به طور شخصی مهم است زیرا درسی مهم به من آموخت. زمانی که اولین بار با CL.0 request smuggling مواجه شدم، فرض کردم که TE.0 ممکن است وجود داشته باشد، اما هرگز قابل بهره برداری نخواهد بود، زیرا این نیازمند آن است که سرور پشت صحنه یک درخواست HTTP که با عدد و خط جدید شروع می شود را بپذیرد. من بسیار، بسیار اشتباه بودم. زمانی که اصول را به درستی یاد بگیرید، اگر بخواهید مرزها را گسترش دهید، تکیه بر پیش بینی و تحلیل ممکن است شما را عقب نگه دارد. اگر سوالی نپرسید چون فکر می کنید جوابش را می دانید، در نهایت نادان خواهید ماند.
اگر می پرسید که حمله چگونه کار می کند، بهترین حدس من این است که فرانت اند بدنه را به صورت non-chunked بازنویسی می کرد، اما فراموش کرده بود که هدر Content-Length را تنظیم کند به دلیل متد OPTIONS. این یک کشف جنون آمیز است که درب را به روی مجموعه ای از احتمالات باز می کند. به این فضا توجه داشته باشید.
۲. SQL Injection Isn’t Dead: Smuggling Queries at the Protocol Level
گاهی اوقات می توان فهمید که یک تحقیق قرار است شگفت انگیز باشد فقط از زیرعنوان آن. LiveOverflow تحلیل عالی ای دارد:
“پیشرفت های بزرگ در تحقیقات معمولاً در تقاطع حوزه ها اتفاق می افتد. در SQL Injection Isn’t Dead: Smuggling Queries at the Protocol Level توسط Paul Gerste، می توانیم ببینیم که ایده های خرابی حافظه باینری در دنیای هک وب به کار گرفته می شوند. ما یک سرریز عدد صحیح داریم که اندازه را خراب می کند و اساساً یک تکنیک heap-spray برای حمله به یک Query جعلی به طور قابل اعتمادتر… زیبا.”
۱. حملات سردرگمی: بهره برداری از ابهام معنایی پنهان در Apache HTTP Server
Orange Tsai برای سومین بار جایگاه اول را با تحقیق حملات سردرگمی: بهره برداری از ابهام معنایی پنهان در Apache HTTP Server به دست آورد. این تحقیق الهام بخش، عمیق و تأثیرگذار، تمام پنل را شگفت زده کرد. در اینجا آنچه کارشناسان گفتند:
“باز هم تحقیقی فوق العاده از Orange! دیوانه کننده است که هیچ کس قبلاً این گونه به Apache نگاه نکرده است!” – Nicolas
“مطمئنم که ما فقط سطحی از آنچه که ممکن است با ساختن بر اساس این تحقیق پیدا کنیم را خراشیده ایم. نمی توانم صبر کنم تا عمیق تر کاوش کنم، دنبال fingerprints و نشانه های سردرگمی ها بگردم و زمانی که زمانش برسد، کاملاً دست به کار شوم!” – STÖK
“Orange Tsai Apache httpd را مثل یک چالش CTF وب می بیند! شگفت انگیز است که تحقیق های Orange چقدر عمیق و تأثیرگذار است (همیشه). با توجه به محبوبیت httpd، این تحقیق به مدت طولانی به عنوان مرجعی برای متخصصان امنیتی باقی خواهد ماند.” – LiveOverflow
“Orange همه اپلیکیشن ها رو سردرگم کرده!” – Soroush
این تحقیق فوق العاده است، باید خوانده شود و قطعاً شایسته جایگاه اول است. تبریک به Orange!
نتیجه گیری
جامعه امنیتی در سال 2025 مقدار بی سابقه ای تحقیق با کیفیت بالا منتشر کرد که رقابت شدیدی برای هر دو رأی گیری جامعه و پنل به دنبال داشت. این فقط یک مسئله کمیت نبود – این بالاترین کیفیت تحقیقاتی است که من از زمان شروع پروژه ده تحقیق برتر در سال ۲۰۱۸ مشاهده کرده ام، و اگر این روند در سال آینده ادامه یابد، باعث رقابت شدیدی خواهد شد. با ۱۰۳ معرفی و تنها ده جایگاه، بسیاری از نوشتارهای عالی نتواستند به فهرست نهایی راه یابند، پس حتماً فهرست کامل معرفی ها را بررسی کنید و به ما بگویید #1 شما چه بود. همچنین، اگر تحقیقی استثنایی از سال ۲۰۲۴ دیدید که هیچ گاه معرفی نشد، ایمیلی بزنید و من آن را به فهرست اضافه خواهم کرد.
یکی از عواملی که یک تحقیق را در ده تحقیق برتر قرار می دهد، طول عمر پیش بینی شده آن است، بنابراین ارزش دارد که با آرشیو ده تحقیق برتر هم به روز شوید. اگر علاقه مند به پیش بینی تحقیقاتی هستید که ممکن است در سال ۲۰۲۵ برنده شوند، می توانید به RSS ما مشترک شوید، به r/websecurityresearch بپیوندید، در Discord ما حضور پیدا کنید، یا در شبکه های اجتماعی ما ما را دنبال کنید. اگر علاقه مند به انجام این نوع تحقیق خودتان هستید، من چند درس که در طول سال ها آموخته ام در مقالات “شکار آسیب پذیری های فرار”، “چگونه یک موضوع تحقیق امنیتی انتخاب کنیم” و “پس، می خواهید یک محقق امنیت وب شوید؟” به اشتراک گذاشته ام.
تشکر فراوان از پنل برای صرف زمان و تخصص خود در تدوین نتیجه نهایی و همچنین از همه کسانی که شرکت کردند! بدون معرفی ها، رأی ها و مهم تر از همه، تحقیقات شما، این امکان پذیر نبود.