Portswigger همه ساله رویداد “Top 10 Web Hacking Techniques” یا “۱۰ تکنیک برتر هک وب” را به منظور انتخاب بهترین مقالات سال در حوزه امنیت وب برگزار میکند. امسال (سال ۲۰۲۴) نیز 68 مقاله در لیست نامزدهای انتخابی قرار گرفتند که تعدادی از مقالات متعلق به محققان ایرانی بودند. گزارش پیش رو، به برگزاری هفدهمین دوره از تلاش سالانه جامعه portswigger برای شناسایی ۱۰ مورد از خلاقانهترین تحقیقات امنیتی وب در سال ۲۰۲۳ پرداخته است.
۱. نام مقاله: “Smashing the state machine: the true potential of web race conditions“
ترجمه نام مقاله: در هم شکستن ماشین وضعیت: پتانسیل واقعی حمله race condition وب
race condition وضعیت نامطلوبی است در زمانی که دو یا چند فرآیند تلاش میکنند به یک منبع مشترک بدون هماهنگی مناسب دست یابند که منجر به نتایج متناقض میشود و دریچهای از فرصتها را برای مهاجم به منظور انجام اقدامات مخرب باز میکند.
در سالهای اخیر، مطلب چندانی در خصوص race condition وب برای گفتن وجود نداشت اما اکنون آزمایشکنندگان، ایده های خوبی دارند. مقاله ” Smashing the state machine” توسط جیمز کتل، جنبه های نادیده گرفته شده قبلی حملات race condition را در برنامه های روزمره برجسته می کند. این برنامه بر جنبه چند مرحله ای حملات race condition به منظور دستیابی به تاثیر بیشتر تمرکز دارد و تکنیک های اخیر را با سوء استفاده از آخرین پشته های HTTP برای به حداکثر رساندن قابلیت بهره برداری تطبیق می دهد. اگرچه اجرای برخی از این حملات ممکن است چالش برانگیز باشد، اما ما معتقدیم که این تحقیق پتانسیل زیادی برای آینده خواهد داشت!
۲. نام مقاله: “ Exploiting Hardened .NET Deserialization“
ترجمه نام مقاله: سوء استفاده از غیردنباله سازی .NET اَمن
مقاله “Exploiting Hardened .NET Deserialization ” توسط پیوتر بازیدولو (Piotr Bazydło) یک کلاس اصلی غیردنباله سازی ( deserialization) مطلق را فراهم میکند. مقدمه مقاله، هدف از آن را بیان می کند که چنین است: “نشان دهید که اهدافی که به نظر قابل اکسپلویت نیستند، ممکن است آسیب پذیر باشند“. یکصد صفحه بعدی مقاله به چگونگی دستیابی به این هدف پرداخته است. شما میتوانید با خواندن این مقاله وقت خود را در صفحات آن سرمایه گذاری کنید. این مقاله در قالب کنفرانس نیز در دسترس است.
نکات برجسته این پنل شامل ابزارهای CredentialIntializer و SettingsPropertyValue و حمله دنباله سازی ناامن به الگوی deserialize->serialize میباشد.
این مقاله یک کمک حائز اهمیت از Piotr Bazydło و Trend Micro ZDI به جامعه امنیت سایبری است.
۳. نام مقاله: “ SMTP Smuggling – Spoofing E-Mails Worldwide“
ترجمه نام مقاله: SMTP Smuggling – جعل ایمیل در سراسر جهان
مقاله ” SMTP Smuggling – Spoofing E-Mails Worldwide” توسط Timo Longin در رتبه سوم قرار دارد. این تحقیق تفاوت parser را با تطبیق تکنیک های HTTP request smuggling برای بهره برداری از SMTP مورد بررسی قرار داده است که شامل ویژگی های برجستهای از جمله ایده های نوآورانه، مطالعات موردی با تاثیر بالا میباشد که نرم افزارهای شناخته شده را هدف قرار می دهند و همچنین توضیحات عمیق، ابزارها و پتانسیل فراوان برای تحقیقات بیشتر را شرح میدهد. این مقاله می تواند به عنوان یک پایه مناسب و قابل استناد برای شناسایی مسائل smuggling در پروتکل های مختلف یا حتی برای کشف تکنیک های اضافی در خود SMTP باشد.
بایستی از Timo Longin و SEC Consult برای ارائه این مقاله و کمک به امنیت اینترنت، قدردانی کرد!
۴. نام مقاله: “ PHP filter chains: file read from error-based oracle“
ترجمه نام مقاله: زنجیره های فیلتر PHP: خواندن فایل از اوراکل مبتنی بر خطا
hash_kitten در سال 2022، یک تکنیک فوقالعاده خلاقانه برای افشای محتوای فایلها با استفاده مکرر از فیلترهای PHP برای راهاندازی استثناهای خارج از حافظه مشروط اختراع کرد، اما این تکنیک چندان مورد توجه قرار نگرفت.
در مقاله ” PHP filter chains: file read from error-based oracle “، رمی متاس (Rémi Matasse) توضیحات عمیق، بهینه سازی ها و toolkit مناسب برای این تکنیک شگفت انگیز ارائه کرده است که به شدت مفید میباشند. این تکنیک جذاب است و ما مشتاق آن هستیم که ببینیم آیا در PHP یا سایر زبان ها میتوان از آن استفاده کرد یا خیر؟
۵. نام مقاله: “ Exploiting HTTP Parsers Inconsistencies“
ترجمه نام مقاله: بهره برداری از ناسازگاری های تجزیه کننده HTTP (HTTP Parser)
مقاله ” Exploiting HTTP Parsers Inconsistencies ” در جایگاه پنجم، توسط رافائل دا کوستا سانتوس (Rafael da Costa Santos)، از تکنیکهای آشفتگی تجزیهکننده آشنا استفاده میکند و آنها را در زمینههای جدید، کشف بای پس های (دور زدن) ACL، SSRF، cache poisoning و البته بای پس های WAF مجددا به کار میگیرد.
۶. نام مقاله: “ HTTP Request Splitting vulnerabilities exploitation“
ترجمه نام مقاله: سوء استفاده از آسیب پذیری های HTTP Request Splitting
دست کم گرفتن حوزه آسیب پذیری HTTP Request Splitting آسان است چرا که در سال 2023 این آسیب پذیری نباید در هیچ سرور اصلی وجود داشته باشد. با این حال، ظاهراً nginx نظر دیگری دارد و این آسیب پذیری را تبدیل به معدن فرصت موثری برای هکرها کرده است. در بهرهبرداری از آسیب پذیریهای HTTP Request Splitting ، سرگئی بابرو (Sergey Bobrov) طیف وسیعی از مطالعات موردی را ارائه میدهد که مسیرهای خلاقانه را برای بهره برداری حداکثری نشان میدهد. میتوان انتظار داشت که تا زمانی که nginx موقعیت خود را تغییر ندهد، یا HTTP/1.1 از بین برود، این فرصت همچنان باقی خواهند ماند.
۷. نام مقاله: “ How I Hacked Microsoft Teams and got $150,000 in Pwn2Own “
ترجمه نام مقاله: چگونه Microsoft Teams را هک کردم و ۱۵۰ هزار دلار در Pwn2Own دریافت کردم؟
مقاله «How I Hacked Microsoft Teams »، شما را با ایده و توسعه یک زنجیره اکسپلویت ۱۵۰,۰۰۰ دلاری آشنا میکند. این مقاله توسط Masato Kinugawa (ماساتو کینوگاوا) با دقت طراحی شده است تا به خواننده اجازه دهد این اکسپلویت را مجددا کشف کند. این مقاله به جای معرفی یک نوع جدید از حمله، یک بینش جامع از رویکرد نوآورانه برای دور زدن حفاظتها ارائه میدهد. James Kettle خواندن این مقاله را توصیه میکند. اگر می خواهید باگ ها را در برنامه های Electron بیابید، خواندن آن بسیار ارزشمند است.
۸. نام مقاله: “From Akamai to F5 to NTLM… with love“
ترجمه نام مقاله: از Akamai تا F5 تا NTLM… با عشق
مقاله « From Akamai to F5 to NTLM… with love » در رتبه هشتم، اثبات میکند که حملات HTTP Desync هنوز هم در اینترنت وجود دارند. کار deadvolvo D3d به لطف کاوشی غنی در فرآیند تفکر تحقیق، به اشتراک گذاری کل فرآیند و نمایش تأثیر این گونه نقصها حائز اهمیت میباشد. هر دو فروشنده سرور آسیب پذیر از پرداخت جوایز به هکرها به منظور کشف باگ امتناع میکنند اما در مقابل به مشتریانی که دارای آسیب پذیری مورد نظر هستند، مبالغی را برای ایجاد انگیزه پرداخت میکنند!
۹. نام مقاله: “ Cookie Crumbles: Breaking and Fixing Web Session Integrity “
ترجمه نام مقاله: شکستن کوکی ها: شکستن و تنظیم یکپارچگی نشست وب
کوکی ها دارای سابقه طولانی آسیب پذیری هستند که محرمانگی و یکپارچگی آنها را مورد هدف قرار می دهد. برای رفع این مسئله، مکانیزم های جدیدی در مرورگرها و برنامه های کاربردی سمت سرور پیشنهاد و پیاده سازی شده است. نکته قابل توجه، بهبود ویژگی Secure و پیشوندهای کوکی با هدف تقویت یکپارچگی کوکی در برابر مهاجمان شبکه و همان سایت است. در حالی که کوکی های SameSite به عنوان راه حل CSRF معرفی شده اند. حفاظت های مبتنی بر توکن در سرور، به عنوان یک دفاعی موثر برای CSRF در نوع الگوی توکن همگام ساز در نظر گرفته می شود.
مقاله ” Cookie Crumbles: Breaking and Fixing Web Session Integrity ” در رتبه نهم قرار دارد که نگاهی به وضعیت کوکی های وب از زوایای متعدد داشته است. یکی از تکنیک های برجسته، تحکیم توکن CSRF است – مانند تحکیم نشست که از آن برای بهرهبرداری از کتابخانههای احراز هویت متعدد، به ویژه فریمورک محبوب PHP Symfony استفاده میشود. اگر می خواهید در سال 2024 یک حمله CSRF انجام دهید، این مقاله را بخوانید که کاری عالی از مارکو اسکوارسینا (Marco Squarcina)، پدرو آدائو (Pedro Adão)، لورنزو ورونزه (Lorenzo Veronese) و متئو مافی (Matteo Maffei) میباشد.
۱۰. نام مقاله: “can I speak to your manager? hacking root EPP servers to take control of zones“
ترجمه نام مقاله: آیا میتوانم با مدیر شما صحبت کنم؟ هک سرورهای EPP روت برای کنترل zoneها
مقاله «آیا می توانم با مدیر شما صحبت کنم؟ هک سرورهای EPP روت به منظور کنترل zoneها» از سام کوری (Sam Curry)، برت بورهاوس (Brett Buerhaus)، ریس الزمور (Rhys Elsmore) و شوبهام شاه (Shubham Shah) درس مهمی به ما میدهند که زیرساخت های حیاتی اینترنت میتوانند به طرز تکان دهنده ای شکننده باشند.
جمع بندی
جامعه امنیتی در سال 2023 حجم عظیمی از تحقیقات با کیفیت بالا را تجربه کرد که منجر به رقابت شدید در مرحله رأی گیری شد. مشارکت همان عاملی است که منجر به جرقه در این پروژه شده است. از این رو، اگر نظری در مورد رتبهبندی Portswigger دارید یا میخواهید در این رتبه بندی مشارکت داشته باشید، مقالات و نظرات خود را پست کرده و Portswigger را در X/Mastodon/LinkedIn دنبال کنید.
