2024年十大Web黑客技术提名揭晓：创新攻击手法与防御挑战

2024年十大Web黑客技术提名揭晓：创新攻击手法与防御挑战

提名活动概述

PortSwigger研究团队于2025年1月8日宣布开放2024年度十大Web黑客技术提名citation:5。自2006年以来，安全社区每年都会汇集全球研究人员通过博客文章、演示、概念验证(PoC)和白皮书分享的最新发现，筛选出那些真正推动Web安全边界的最具创新性、影响力和可复用性的十大技术。

时间安排

• 1月8-14日：收集社区对2024年度顶级研究的提名
• 1月15-21日：社区对提名进行投票，产生前15名候选名单
• 1月22日：启动专家小组投票，最终选定并排序前10名
• 2月04日：公布2024年度十大Web黑客技术citation:5

提名标准

提名应重点关注包含新颖、实用且可适用于不同系统的技术的研究。像log4shell这样的单个漏洞在当时很有价值但通常时效性有限，而诸如JNDI注入等底层技术则可以反复应用产生巨大影响。提名也可以是针对已知攻击类别的改进，例如利用本地DTD文件利用XXE漏洞citation:5。

部分提名技术亮点

以下是初步提名的一些代表性技术，展现了2024年Web安全领域的创新方向：

1. 缓存利用新规则：Gotta cache 'em all

通过利用URL解析差异实现任意Web缓存投毒和欺骗的新技术。

2. 有效的Web时序攻击：Listen to the whispers

通过单包同步（single-packet sync）和利用限定范围的SSRF机会等新技术，解决网络和服务器噪声问题，使HTTP/2时序攻击在各种Web环境中变得可行和有效。

3. 解析器差异利用：Splitting the email atom

利用编码词和Unicode溢出利用电子邮件解析差异，实现Web应用中的访问控制绕过和潜在RCE。

4. Apache HTTP服务器语义模糊性利用：Confusion Attacks!

利用Apache HTTP服务器模块交互中的架构缺陷，实现不安全路径访问、可预测处理程序操纵和身份验证绕过。

5. WAF绕过技术：Bypassing WAFs with the phantom $Version cookie

通过Cookie解析器中对$Version属性和引号字符串编码的旧版支持来绕过WAF。

6. CDN路径遍历混淆：ChatGPT Account Takeover - Wildcard Web Cache Deception

利用CDN和Web服务器URL解析中的路径遍历混淆，缓存敏感API端点以窃取认证令牌。

7. 开发流程攻击：Devfile file write vulnerability in GitLab

利用YAML解析器差异和tar文件提取中的路径遍历，在GitLab中实现任意文件写入。

8. 多部分解析器绕过：Breaking Down Multipart Parsers

通过利用参数处理、边界识别和内容验证方面的差异（包括重复参数、省略必要分隔符和替代编码序列）来绕过multipart/form-data解析器的文件上传验证。

9. 供应链攻击新纪元：Supply Chain Attacks: A New Era

通过精心制作的多行源映射注释绕过Lavamoat的策略文件沙箱，并通过已弃用的document.execCommand函数规避SnowJS的领域隔离。

10. 面部识别绕过：Abusing Intended Feature And Bypassing Facial Recognition.pptx

通过利用AI无法区分真人脸和深度伪造图像的缺陷来绕过面部识别系统。

技术趋势分析

2024年提名技术呈现几个明显趋势：

1. 协议级攻击增多：更多研究关注HTTP/2、SMTP等协议的底层实现漏洞
2. 解析差异利用：各个层级（URL、邮件、多部分数据等）的解析不一致性成为攻击新向量
3. WAF绕过技术成熟：出现多种系统化的WAF绕过方法
4. 供应链攻击多样化：针对开发工具链和依赖库的攻击手法更加精细
5. AI安全挑战显现：开始出现针对AI系统的攻击技术citation:5

提交提名

要提交提名，只需提供研究的URL以及可选的简要评论说明工作的新颖性。可以随意提交多个提名，如果认为自己的工作有价值，也可以提名自己的作品citation:5。

结语

年度Top 10 Web黑客技术评选不仅认可了安全研究人员的重要贡献，更重要的是推动了整个Web安全领域的发展。通过识别和推广这些创新技术，安全社区能够更好地理解新兴威胁，开发更有效的防御措施，最终使互联网对每个人都更加安全citation:5。

关注@PortSwiggerRes获取投票阶段开始的通知。