Vota las mejoras técnicas de hacking web de 2023

¡Ya están abiertas las nominaciones para las 10 mejores nuevas técnicas de hacking web de 2023 de Portswigger!

Durante el último año, numerosos investigadores de seguridad compartieron sus descubrimientos con la comunidad a través de publicaciones de blogs, presentaciones y documentos técnicos. Muchas de estas publicaciones contienen ideas innovadoras que esperan que la persona adecuada las adapte y las combine en nuevos descubrimientos en el futuro.

Sin embargo, el gran volumen puede hacer que las buenas técnicas se pasen por alto y se olviden rápidamente. Desde 2006, la comunidad se ha unido todos los años para ayudar mediante la creación de dos recursos valiosos.

• Una lista completa de todas las investigaciones destacadas sobre seguridad web del último año
• Una lista refinada de los diez trabajos más valiosos

Te recomiendo echar un ojo al archivo completo del proyecto para conocer los nominados y ganadores anteriores.

Las votaciones de 2023

El calendario para este año es el siguiente:

• Del 9 al 21 de enero: recopilación de nominaciones de la comunidad.
• 23-30 de enero: votación de la comunidad para crear una lista con los 15 mejores
• 1-13 de febrero: votación del panel de expertos sobre los 15 finalistas
• 15 de febrero: ¡Resultados anunciados!

¿Qué debo nominar?

El objetivo es destacar investigaciones que contengan técnicas novedosas y prácticas que puedan reaplicarse a diferentes sistemas. Las vulnerabilidades individuales como log4shell son valiosas en ese momento, pero envejecen relativamente mal, mientras que las técnicas subyacentes como la inyección JNDI a menudo se pueden volver a aplicar con gran efecto. Las nominaciones también pueden ser mejoras a clases de ataques ya conocidas, como Explotación de XXE con archivos DTD locales. Para obtener más ejemplos, puede que te resulte útil consultar los 10 mejores del año anterior.

Cómo hacer una nominación

Para enviar una propuesta, simplemente proporciona una URL de la investigación y un breve comentario opcional que la explique. ¡Siéntete libre de hacer tantas nominaciones como quieras y nomina tu propio trabajo si crees que vale la pena!

Haga clic aquí para enviar una nominación

Nominaciones hasta ahora

• Saqueando tokens de restablecimiento de contraseña
  
  
  Ataque de fuerza bruta en aplicaciones Ruby on Rails utilizando la
  biblioteca Ransack, para filtrar tokens de restablecimiento de
  contraseña a través de la coincidencia de prefijos, carácter por carácter,
  a través de filtros de búsqueda.

• mTLS: cuando la autenticación de certificados se realiza incorrectamente
  
  Vulnerabilidades en mutual-TLS que conducen a la suplantación de usuario, escalada de privilegios y fuga de información.

• Destrozando la máquina de estados: el verdadero potencial de las condiciones de carrera web
  

  Concepto de “todo es de varios pasos” para las condiciones de
  carrera web, ampliando el alcance del ataque tradicional de superación
  de límites mediante la explotación de subestados ocultos dentro de las
  aplicaciones web e introduciendo un sistema “resistente a las
  fluctuaciones” ataque de un solo paquete”.

• Bypass de firewalls con errores con of-CORs y typo-squatting
  

  Explotación de recursos compartidos entre orígenes (CORS) en redes
  internas utilizando dominios de typo-squatting para investigar y exfiltrar
  datos confidenciales sin violar las reglas de bug bounty.

• RCE mediante truncamiento de LDAP en hg.mozilla.org
  

  Se logró la ejecución remota de código (RCE) en el servidor de
  Mozilla aprovechando el truncamiento de consultas LDAP con inyección de
  bytes NULL para bypassear la sanitización de entradas, lo que permite la
  inyección de comandos.

• Errores de cookies: smuggling e inyección
  

  Explotación del análisis inconsistente de valores de cookies
  entrecomillados, lo que lleva al smuggling de cookies, y cómo los
  delimitadores incorrectos permiten la inyección de cookies, lo que
  permite la suplantación de tokens CSRF y posibles omisiones de
  autenticación.

• La validación de URI de redireccionamiento de OAuth 2.0 se queda corta, literalmente,
  
  explotación de OAuth a través de confusión de paths.

• Prototipo pollution en Python
  

  Clase de pollution en Python mediante funciones de combinación
  recursivas que manipulan atributos especiales `__class__`.

• Vulnerabilidades de Pretalx: cómo ser aceptado en cada conferencia
  

  Aprovechando los enlaces de configuración específicos del sitio de
  Python para archivos .pth para obtener ejecución de código arbitrario a
  través de una vulnerabilidad de escritura de archivos limitada.

• De Akamai a F5 a NTLM… con amor.
  
  Aprovechar el smuggling de solicitudes HTTP y el envenenamiento
  de caché a través de los sistemas Akamai y F5 BIGIP para redirigir y
  robar datos confidenciales, incluidos tokens de autorización y
  credenciales NTLM.

• ¿Puedo hablar con su gerente? hackear servidores raíz EPP para tomar el control de zonas
  

  Explotar vulnerabilidades XXE en servidores EPP y divulgación de
  archivos locales en el software de registro CoCCA para obtener control
  de zonas ccTLD completas.

• Exfiltración ciega de CSS: exfiltración de páginas web desconocidas.
  
  Uso de CSS: tiene un selector para realizar una filtración ciega de datos confidenciales sin JavaScript.

• Comprometer F5 BIGIP con smuggling de solicitudes
  
  Eludir el control de acceso mediante la explotación de configuraciones erróneas del servidor Nginx.

• Contaminación de prototipos del lado del servidor: detección de caja negra sin DoS
  

  Aprovechamiento de técnicas no destructivas como la manipulación
  de respuestas JSON y la inyección de encabezado CORS para la detección
  segura de cajas negras de la contaminación de prototipos del lado del
  servidor.

• Trucos para una vinculación de DNS confiable en una fracción de segundo en Chrome y Safari
  

  Explotación de las respuestas DNS retrasadas con Safari y la
  priorización de IPv6 de Chrome para realizar ataques de vinculación de
  DNS en una fracción de segundo.

• HTML Over the Wire
  

  Explotación de las funciones de las bibliotecas “HTML Over the
  Wire” para la fuga de tokens CSRF a través de solicitudes POST de origen
  cruzado con enlaces inyectados.

• SMTP smuggling: falsificación de correos electrónicos en todo el mundo
  

  Explotación de las diferencias en la interpretación del protocolo
  SMTP para eludir las comprobaciones de validación de correo electrónico
  SPF y DMARC y enviar correos electrónicos falsificados.

• Condición de carrera basada en DOM: competir en el navegador por diversión – Blog de RyotaK
  

  Explotación de las condiciones de carrera en aplicaciones
  AngularJS retrasando la carga de AngularJS con un ataque de agotamiento
  del grupo de conexiones para habilitar XSS basado en DOM a través de
  datos pegados del portapapeles con directivas ng-.

• No estás donde crees que estás, vulnerabilidades de suplantación de la barra de direcciones de los navegadores Opera
  

  Técnicas de suplantación de la barra de direcciones en los
  navegadores Opera, que explotan funciones como URL de intención,
  actualizaciones de extensiones y modo de pantalla completa

• CVE-2022-4908: Omisión de SOP en Chrome usando la API de navegación
  

  Abusar de `navigation.entries()` de la API de navegación para
  filtrar la matriz del historial de navegación de ventanas de origen
  cruzado.

• Gadgets SSO: Escale (Self-)XSS a ATO
  
  Aprovechando los gadgets SSO en implementaciones OAuth2/OIDC para convertir Self-XSS a ATO.

• Tres nuevos ataques contra tokens web JSON
  
  Nuevos defectos de implementación de JWT

• Presentamos wrapwrap: uso de filtros PHP para envolver un archivo con un prefijo y sufijo
  

  Aprovechamiento de cadenas de filtros PHP para anteponer y agregar
  contenido arbitrario a los datos del archivo, facilitando SSRF a RCE y
  ataques de inclusión de archivos locales.

• Cadenas de filtros PHP: lectura de archivos desde Oracle basado en errores.
  

  Combinación de agotamiento de la memoria y codificación de
  traducciones a través de cadenas de filtros PHP para realizar fugas de
  contenido de archivos locales basadas en errores.

• Omisión de redireccionamiento entre protocolos SSRF
  
  Omitir los filtros SSRF mediante el redireccionamiento entre protocolos de HTTPS a HTTP.

• Un nuevo vector para la escritura de archivos arbitrarios “sucios” en RCE
  

  Aprovechando el análisis de configuración uWSGI para la ejecución
  remota de código a través de un PDF contaminado que utiliza contenido
  polimórfico y comportamiento de recarga automática.

• Cómo hackeé Microsoft Teams y obtuve $150,000 en Pwn2Own
  

  RCE en Microsoft Teams a través de una combinación de errores que
  incluyen XSS a través de mensajes de chat, falta de aislamiento de
  contexto y ejecución de JS fuera del entorno sandbox.

• Los clientes de AWS WAF quedaron vulnerables a la inyección de SQL debido a una elección de diseño poco ortodoxa de MSSQL
  
  que termina las consultas de MSSQL con ‘ ‘ en lugar de ‘;’ para omitir AWS WAF.

• BingBang: La mala configuración de AAD llevó a la manipulación de los resultados de Bing.com y a la apropiación de cuentas.
  

  Aprovechar la mala configuración de multi-tenants de AAD
  para el acceso no autorizado a las aplicaciones, lo que llevó a la
  manipulación de los resultados de Bing.com y a ataques XSS.

• Panel de administración de MyBB RCE CVE-2023-41362
  

  Explotación del retroceso catastrófico (backtracking) en la expresión regular del
  panel de administración de MyBB para evitar los controles de seguridad
  de la plantilla y ejecutar código arbitrario.

• Código fuente en riesgo: vulnerabilidad de código crítico en la plataforma CI/CD TeamCity
  

  Eludiendo la verificación de autenticación del servidor TeamCity mediante el manejo no sanitizado de la entrada para las rutas de preinterceptor de manejo de solicitudes.

• Las vulnerabilidades del código ponen en riesgo los correos electrónicos de Skiff.
  
  Eludir la desinfección de HTML de Skiff para lograr XSS y robar correos electrónicos descifrados.

• ¿Cómo romper SAML si tengo “patas”?
  
  Atacar implementaciones SAML mediante ajuste de firmas XML,
  inyecciones de texto sin formato, exclusión de firmas, validación de
  certificados defectuosos y más.

• Revisión de la explotación de JMX
  

  Uso de JMX StandardMBean y RequiredModelMBean para RCE mediante la
  creación dinámica de MBean y la invocación de métodos arbitrarios.

• Restricciones de explotación de Java en tiempos modernos de JDK
  

  Evitar las restricciones de ejecución de gadgets de
  deserialización de Java en JDK modernos utilizando la API de JShell para
  versiones de JDK >= 15 y –add-opens con Reflection para JDK >=
  16.

• Explotación de la deserialización reforzada de .NET
  
  Eludir la seguridad de deserialización de .NET mediante novedosas cadenas de dispositivos.

• No serializable, pero inalcanzable: ejecución remota de código en vBulletin
  

  Explotación de la carga automática de clases en PHP para la
  ejecución remota de código mediante la inclusión de archivos arbitrarios
  mediante payloads de deserialización diseñadas en vBulletin.

• DuoDrop sin cookies: IIS Auth Bypass y App Pool Privesc en ASP.NET Framework
  

  Omitir la autenticación de IIS y suplantar las identidades del
  grupo de aplicaciones principal en ASP.NET utilizando un patrón doble
  sin cookies.

• Buscando cruces de alias de Nginx in the wild
  
  Aprovechando las configuraciones erróneas de los alias de Nginx para ataques de cruce de directorios.

• Analizador de DNS: búsqueda de vulnerabilidades de DNS con Burp Suite
  

  Uso de Burp Collaborator con la extensión DNS Analyzer para
  identificar vulnerabilidades de DNS que facilitan los ataques de
  envenenamiento de caché de DNS al estilo Kaminsky.

• Oh-Auth: Abusar de OAuth para hacerse cargo de millones de cuentas.
  
  Manipular la lógica de verificación de tokens de OAuth para facilitar la apropiación de cuentas.

• nOAuth: Cómo una mala configuración de Microsoft OAuth puede llevar a la apropiación total de la cuenta
  

  Aprovechando la reclamación de “correo electrónico” mutable y no
  verificado dentro de las aplicaciones Microsoft Azure AD OAuth para la
  apropiación de cuentas.

• Un esquema para gobernarlos a todos: apropiación de cuentas de OAuth
  

  Explotación de OAuth con suplantación de aplicaciones mediante el
  secuestro de esquemas personalizados para apropiación de cuentas.

• Explotación de inconsistencias de los analizadores HTTP
  
  Explotación de inconsistencias del analizador HTTP para omisión de ACL y envenenamiento de caché.

• Nuevas formas de romper los LLM integrados en aplicaciones.
  

  Ataques indirectos de inyección rápida en LLM integrados en
  aplicaciones que permiten el control remoto, la exfiltración de datos y
  el compromiso persistente.

• Estado de DNS rebinding en 2023
  

  Avances y tendencias en los ataques de rebinding de DNS,
  examinando su efectividad frente a las medidas de seguridad web modernas

• Ejecución remota de código sin archivos en Juniper Firewalls
  

  Técnica de manipulación de variables de entorno PHP que evita la
  necesidad de cargar un archivo, explotando la función PHP
  auto_prepend_file y el manejo de variables de entorno y stdin por parte
  del servidor web Appweb.

• Trece años después: ¡Avanzando en la comprensión de la divulgación de nombres de archivos cortos (SFN) de IIS!
  
  Revelar nombres de archivos completos en IIS que contienen
  patrones ~DIGIT utilizando técnicas de enumeración de nombres de
  archivos.

• Metamask Snaps: jugando en la arena
  

  Explotación de la ejecución de código que no es de confianza
  mediante la derivación de desinfección JSON dentro del entorno de
  Metamask Snaps.

• Descubriendo una loca escalada de privilegios desde las extensiones de Chrome
  

  Escalada a la ejecución de código arbitrario a través de chrome://
  URL XSS y sistema de archivos: abuso de protocolo en las extensiones de
  Chrome en ChromeOS.

• Las vulnerabilidades del código ponen en riesgo los correos de Proton Mail
  
  . DOMPurify evita la desinfección en Proton Mail mediante el cambio de nombre de svg a proton-svg, lo que conduce a XSS.

• Hackear gRPC-Web
  
  Explotar gRPC-Web para descubrir servicios y parámetros ocultos, lo que genera vulnerabilidades como la inyección SQL.

• Yelp ATO a través de XSS + Cookie Bridge
  

  Lograr la adquisición de cuenta (ATO) en yelp.com y biz.yelp.com a
  través de Cross-Site Scripting (XSS) junto con Cookie Bridging.

• Explotación de vulnerabilidades de división de solicitudes HTTP
  

  Aprovechando las configuraciones erróneas de nginx para realizar
  la división de solicitudes HTTP mediante caracteres de control en
  variables.

• XSS en correo electrónico dinámico de GMAIL
  

  La explotación del análisis de CSS en AMP para correo electrónico
  de Gmail permitió la inyección de metaetiquetas para posible phishing,
  evitando CSP estricto sin XSS efectivo.

• Uso indebido de criptografía de Azure B2C y compromiso de la cuenta
  

  Extracción de claves RSA públicas para crear tokens de
  actualización de OAuth válidos y comprometer las cuentas de usuario de
  Azure AD B2C.

• Comprometer F5 BIGIP con smuggling de solicitudes
  

  Explotar el protocolo AJP con smuggling de solicitudes HTTP para
  evitar la autenticación y ejecutar comandos arbitrarios del sistema en
  sistemas F5 BIG-IP identificados por CVE-2023-46747.

• EmojiDeploy: ¡Sonríe! Su servicio web de Azure acaba de obtener RCE.
  

  Explotación de una configuración incorrecta en el mismo sitio y
  omisión de verificación de origen en Azure Kudu SCM para lograr RCE a
  través de CSRF a través de implementaciones de archivos ZIP.

• Un ataque a la cadena de suministro para gobernarlos a todos
  

  Explotación de ejecutores de GitHub Action autohospedados para
  acceso persistente y ejecución de código arbitrario en la
  infraestructura interna de GitHub para comprometer secretos de CI/CD y
  potencialmente alterar las imágenes del ejecutor de GitHub para ataques a
  la cadena de suministro.

• Pérdida de token de OAuth CVE de draw.io
  
  debido a una omisión de espacios en blanco en la validación de URL.

• Filtración
  de secretos de acciones de GitHub: lectura de archivos y variables de
  entorno, interceptación de comunicación de red/proceso, volcado de
  memoria
  

  Aprovechamiento de la inyección de comandos en acciones de GitHub
  para leer variables y archivos de entorno, interceptar comunicación de
  red y proceso, y volcado de memoria para extraer secretos.

• fuzzuli
  

  Generación dinámica de listas de palabras basadas en
  transformaciones de nombres de dominio para descubrir archivos de
  respaldo.

• El gusano de acciones de GitHub: comprometer repositorios de GitHub a través del árbol de dependencia de acciones
  

  Aprovechar el árbol de dependencia de acciones de GitHub para
  propagar malware de forma recursiva entre repositorios que utilizan
  acciones comprometidas.

• Desde un recorrido de ruta inocente del lado del cliente hasta el takeover de cuentas
  

  Aprovechando el recorrido de ruta del lado del cliente en
  solicitudes de recuperación y la redirección de errores de OAuth para la
  apropiación de cuentas.

• Investigación de seguridad de tRPC: búsqueda de vulnerabilidades en las API modernas
  

  Aprovechamiento de errores de tipo y puntos finales del panel trpc
  mal protegidos para identificar y explotar las vulnerabilidades de la
  API de tRPC.