Vota las mejoras técnicas de hacking web de 2023
¡Ya están abiertas las nominaciones para las 10 mejores nuevas técnicas de hacking web de 2023 de Portswigger!
Durante el último año, numerosos investigadores de seguridad compartieron sus descubrimientos con la comunidad a través de publicaciones de blogs, presentaciones y documentos técnicos. Muchas de estas publicaciones contienen ideas innovadoras que esperan que la persona adecuada las adapte y las combine en nuevos descubrimientos en el futuro.
Sin embargo, el gran volumen puede hacer que las buenas técnicas se pasen por alto y se olviden rápidamente. Desde 2006, la comunidad se ha unido todos los años para ayudar mediante la creación de dos recursos valiosos.
- Una lista completa de todas las investigaciones destacadas sobre seguridad web del último año
- Una lista refinada de los diez trabajos más valiosos
Te recomiendo echar un ojo al archivo completo del proyecto para conocer los nominados y ganadores anteriores.
Las votaciones de 2023
El calendario para este año es el siguiente:
- Del 9 al 21 de enero: recopilación de nominaciones de la comunidad.
- 23-30 de enero: votación de la comunidad para crear una lista con los 15 mejores
- 1-13 de febrero: votación del panel de expertos sobre los 15 finalistas
- 15 de febrero: ¡Resultados anunciados!
¿Qué debo nominar?
El objetivo es destacar investigaciones que contengan técnicas novedosas y prácticas que puedan reaplicarse a diferentes sistemas. Las vulnerabilidades individuales como log4shell son valiosas en ese momento, pero envejecen relativamente mal, mientras que las técnicas subyacentes como la inyección JNDI a menudo se pueden volver a aplicar con gran efecto. Las nominaciones también pueden ser mejoras a clases de ataques ya conocidas, como Explotación de XXE con archivos DTD locales. Para obtener más ejemplos, puede que te resulte útil consultar los 10 mejores del año anterior.
Cómo hacer una nominación
Para enviar una propuesta, simplemente proporciona una URL de la investigación y un breve comentario opcional que la explique. ¡Siéntete libre de hacer tantas nominaciones como quieras y nomina tu propio trabajo si crees que vale la pena!
Haga clic aquí para enviar una nominación
Nominaciones hasta ahora
- Saqueando tokens de restablecimiento de contraseña
Ataque de fuerza bruta en aplicaciones Ruby on Rails utilizando la
biblioteca Ransack, para filtrar tokens de restablecimiento de
contraseña a través de la coincidencia de prefijos, carácter por carácter,
a través de filtros de búsqueda. - mTLS: cuando la autenticación de certificados se realiza incorrectamente
Vulnerabilidades en mutual-TLS que conducen a la suplantación de usuario, escalada de privilegios y fuga de información. - Destrozando la máquina de estados: el verdadero potencial de las condiciones de carrera web
Concepto de “todo es de varios pasos” para las condiciones de
carrera web, ampliando el alcance del ataque tradicional de superación
de límites mediante la explotación de subestados ocultos dentro de las
aplicaciones web e introduciendo un sistema “resistente a las
fluctuaciones” ataque de un solo paquete”. - Bypass de firewalls con errores con of-CORs y typo-squatting
Explotación de recursos compartidos entre orígenes (CORS) en redes
internas utilizando dominios de typo-squatting para investigar y exfiltrar
datos confidenciales sin violar las reglas de bug bounty. - RCE mediante truncamiento de LDAP en hg.mozilla.org
Se logró la ejecución remota de código (RCE) en el servidor de
Mozilla aprovechando el truncamiento de consultas LDAP con inyección de
bytes NULL para bypassear la sanitización de entradas, lo que permite la
inyección de comandos. - Errores de cookies: smuggling e inyección
Explotación del análisis inconsistente de valores de cookies
entrecomillados, lo que lleva al smuggling de cookies, y cómo los
delimitadores incorrectos permiten la inyección de cookies, lo que
permite la suplantación de tokens CSRF y posibles omisiones de
autenticación. - La validación de URI de redireccionamiento de OAuth 2.0 se queda corta, literalmente,
explotación de OAuth a través de confusión de paths. - Prototipo pollution en Python
Clase de pollution en Python mediante funciones de combinación
recursivas que manipulan atributos especiales `__class__`. - Vulnerabilidades de Pretalx: cómo ser aceptado en cada conferencia
Aprovechando los enlaces de configuración específicos del sitio de
Python para archivos .pth para obtener ejecución de código arbitrario a
través de una vulnerabilidad de escritura de archivos limitada. - De Akamai a F5 a NTLM… con amor.
Aprovechar el smuggling de solicitudes HTTP y el envenenamiento
de caché a través de los sistemas Akamai y F5 BIGIP para redirigir y
robar datos confidenciales, incluidos tokens de autorización y
credenciales NTLM. - ¿Puedo hablar con su gerente? hackear servidores raíz EPP para tomar el control de zonas
Explotar vulnerabilidades XXE en servidores EPP y divulgación de
archivos locales en el software de registro CoCCA para obtener control
de zonas ccTLD completas. - Exfiltración ciega de CSS: exfiltración de páginas web desconocidas.
Uso de CSS: tiene un selector para realizar una filtración ciega de datos confidenciales sin JavaScript. - Comprometer F5 BIGIP con smuggling de solicitudes
Eludir el control de acceso mediante la explotación de configuraciones erróneas del servidor Nginx. - Contaminación de prototipos del lado del servidor: detección de caja negra sin DoS
Aprovechamiento de técnicas no destructivas como la manipulación
de respuestas JSON y la inyección de encabezado CORS para la detección
segura de cajas negras de la contaminación de prototipos del lado del
servidor. - Trucos para una vinculación de DNS confiable en una fracción de segundo en Chrome y Safari
Explotación de las respuestas DNS retrasadas con Safari y la
priorización de IPv6 de Chrome para realizar ataques de vinculación de
DNS en una fracción de segundo. - HTML Over the Wire
Explotación de las funciones de las bibliotecas “HTML Over the
Wire” para la fuga de tokens CSRF a través de solicitudes POST de origen
cruzado con enlaces inyectados. - SMTP smuggling: falsificación de correos electrónicos en todo el mundo
Explotación de las diferencias en la interpretación del protocolo
SMTP para eludir las comprobaciones de validación de correo electrónico
SPF y DMARC y enviar correos electrónicos falsificados. - Condición de carrera basada en DOM: competir en el navegador por diversión – Blog de RyotaK
Explotación de las condiciones de carrera en aplicaciones
AngularJS retrasando la carga de AngularJS con un ataque de agotamiento
del grupo de conexiones para habilitar XSS basado en DOM a través de
datos pegados del portapapeles con directivas ng-. - No estás donde crees que estás, vulnerabilidades de suplantación de la barra de direcciones de los navegadores Opera
Técnicas de suplantación de la barra de direcciones en los
navegadores Opera, que explotan funciones como URL de intención,
actualizaciones de extensiones y modo de pantalla completa - CVE-2022-4908: Omisión de SOP en Chrome usando la API de navegación
Abusar de `navigation.entries()` de la API de navegación para
filtrar la matriz del historial de navegación de ventanas de origen
cruzado. - Gadgets SSO: Escale (Self-)XSS a ATO
Aprovechando los gadgets SSO en implementaciones OAuth2/OIDC para convertir Self-XSS a ATO. - Tres nuevos ataques contra tokens web JSON
Nuevos defectos de implementación de JWT - Presentamos wrapwrap: uso de filtros PHP para envolver un archivo con un prefijo y sufijo
Aprovechamiento de cadenas de filtros PHP para anteponer y agregar
contenido arbitrario a los datos del archivo, facilitando SSRF a RCE y
ataques de inclusión de archivos locales. - Cadenas de filtros PHP: lectura de archivos desde Oracle basado en errores.
Combinación de agotamiento de la memoria y codificación de
traducciones a través de cadenas de filtros PHP para realizar fugas de
contenido de archivos locales basadas en errores. - Omisión de redireccionamiento entre protocolos SSRF
Omitir los filtros SSRF mediante el redireccionamiento entre protocolos de HTTPS a HTTP. - Un nuevo vector para la escritura de archivos arbitrarios “sucios” en RCE
Aprovechando el análisis de configuración uWSGI para la ejecución
remota de código a través de un PDF contaminado que utiliza contenido
polimórfico y comportamiento de recarga automática. - Cómo hackeé Microsoft Teams y obtuve $150,000 en Pwn2Own
RCE en Microsoft Teams a través de una combinación de errores que
incluyen XSS a través de mensajes de chat, falta de aislamiento de
contexto y ejecución de JS fuera del entorno sandbox. - Los clientes de AWS WAF quedaron vulnerables a la inyección de SQL debido a una elección de diseño poco ortodoxa de MSSQL
que termina las consultas de MSSQL con ‘ ‘ en lugar de ‘;’ para omitir AWS WAF. - BingBang: La mala configuración de AAD llevó a la manipulación de los resultados de Bing.com y a la apropiación de cuentas.
Aprovechar la mala configuración de multi-tenants de AAD
para el acceso no autorizado a las aplicaciones, lo que llevó a la
manipulación de los resultados de Bing.com y a ataques XSS. - Panel de administración de MyBB RCE CVE-2023-41362
Explotación del retroceso catastrófico (backtracking) en la expresión regular del
panel de administración de MyBB para evitar los controles de seguridad
de la plantilla y ejecutar código arbitrario. - Código fuente en riesgo: vulnerabilidad de código crítico en la plataforma CI/CD TeamCity
Eludiendo la verificación de autenticación del servidor TeamCity mediante el manejo no sanitizado de la entrada para las rutas de preinterceptor de manejo de solicitudes.
- Las vulnerabilidades del código ponen en riesgo los correos electrónicos de Skiff.
Eludir la desinfección de HTML de Skiff para lograr XSS y robar correos electrónicos descifrados. - ¿Cómo romper SAML si tengo “patas”?
Atacar implementaciones SAML mediante ajuste de firmas XML,
inyecciones de texto sin formato, exclusión de firmas, validación de
certificados defectuosos y más. - Revisión de la explotación de JMX
Uso de JMX StandardMBean y RequiredModelMBean para RCE mediante la
creación dinámica de MBean y la invocación de métodos arbitrarios. - Restricciones de explotación de Java en tiempos modernos de JDK
Evitar las restricciones de ejecución de gadgets de
deserialización de Java en JDK modernos utilizando la API de JShell para
versiones de JDK >= 15 y –add-opens con Reflection para JDK >=
16. - Explotación de la deserialización reforzada de .NET
Eludir la seguridad de deserialización de .NET mediante novedosas cadenas de dispositivos. - No serializable, pero inalcanzable: ejecución remota de código en vBulletin
Explotación de la carga automática de clases en PHP para la
ejecución remota de código mediante la inclusión de archivos arbitrarios
mediante payloads de deserialización diseñadas en vBulletin. - DuoDrop sin cookies: IIS Auth Bypass y App Pool Privesc en ASP.NET Framework
Omitir la autenticación de IIS y suplantar las identidades del
grupo de aplicaciones principal en ASP.NET utilizando un patrón doble
sin cookies. - Buscando cruces de alias de Nginx in the wild
Aprovechando las configuraciones erróneas de los alias de Nginx para ataques de cruce de directorios. - Analizador de DNS: búsqueda de vulnerabilidades de DNS con Burp Suite
Uso de Burp Collaborator con la extensión DNS Analyzer para
identificar vulnerabilidades de DNS que facilitan los ataques de
envenenamiento de caché de DNS al estilo Kaminsky. - Oh-Auth: Abusar de OAuth para hacerse cargo de millones de cuentas.
Manipular la lógica de verificación de tokens de OAuth para facilitar la apropiación de cuentas. - nOAuth: Cómo una mala configuración de Microsoft OAuth puede llevar a la apropiación total de la cuenta
Aprovechando la reclamación de “correo electrónico” mutable y no
verificado dentro de las aplicaciones Microsoft Azure AD OAuth para la
apropiación de cuentas. - Un esquema para gobernarlos a todos: apropiación de cuentas de OAuth
Explotación de OAuth con suplantación de aplicaciones mediante el
secuestro de esquemas personalizados para apropiación de cuentas. - Explotación de inconsistencias de los analizadores HTTP
Explotación de inconsistencias del analizador HTTP para omisión de ACL y envenenamiento de caché. - Nuevas formas de romper los LLM integrados en aplicaciones.
Ataques indirectos de inyección rápida en LLM integrados en
aplicaciones que permiten el control remoto, la exfiltración de datos y
el compromiso persistente. - Estado de DNS rebinding en 2023
Avances y tendencias en los ataques de rebinding de DNS,
examinando su efectividad frente a las medidas de seguridad web modernas - Ejecución remota de código sin archivos en Juniper Firewalls
Técnica de manipulación de variables de entorno PHP que evita la
necesidad de cargar un archivo, explotando la función PHP
auto_prepend_file y el manejo de variables de entorno y stdin por parte
del servidor web Appweb. - Trece años después: ¡Avanzando en la comprensión de la divulgación de nombres de archivos cortos (SFN) de IIS!
Revelar nombres de archivos completos en IIS que contienen
patrones ~DIGIT utilizando técnicas de enumeración de nombres de
archivos. - Metamask Snaps: jugando en la arena
Explotación de la ejecución de código que no es de confianza
mediante la derivación de desinfección JSON dentro del entorno de
Metamask Snaps. - Descubriendo una loca escalada de privilegios desde las extensiones de Chrome
Escalada a la ejecución de código arbitrario a través de chrome://
URL XSS y sistema de archivos: abuso de protocolo en las extensiones de
Chrome en ChromeOS. - Las vulnerabilidades del código ponen en riesgo los correos de Proton Mail
. DOMPurify evita la desinfección en Proton Mail mediante el cambio de nombre de svg a proton-svg, lo que conduce a XSS. - Hackear gRPC-Web
Explotar gRPC-Web para descubrir servicios y parámetros ocultos, lo que genera vulnerabilidades como la inyección SQL. - Yelp ATO a través de XSS + Cookie Bridge
Lograr la adquisición de cuenta (ATO) en yelp.com y biz.yelp.com a
través de Cross-Site Scripting (XSS) junto con Cookie Bridging. - Explotación de vulnerabilidades de división de solicitudes HTTP
Aprovechando las configuraciones erróneas de nginx para realizar
la división de solicitudes HTTP mediante caracteres de control en
variables. - XSS en correo electrónico dinámico de GMAIL
La explotación del análisis de CSS en AMP para correo electrónico
de Gmail permitió la inyección de metaetiquetas para posible phishing,
evitando CSP estricto sin XSS efectivo. - Uso indebido de criptografía de Azure B2C y compromiso de la cuenta
Extracción de claves RSA públicas para crear tokens de
actualización de OAuth válidos y comprometer las cuentas de usuario de
Azure AD B2C. - Comprometer F5 BIGIP con smuggling de solicitudes
Explotar el protocolo AJP con smuggling de solicitudes HTTP para
evitar la autenticación y ejecutar comandos arbitrarios del sistema en
sistemas F5 BIG-IP identificados por CVE-2023-46747. - EmojiDeploy: ¡Sonríe! Su servicio web de Azure acaba de obtener RCE.
Explotación de una configuración incorrecta en el mismo sitio y
omisión de verificación de origen en Azure Kudu SCM para lograr RCE a
través de CSRF a través de implementaciones de archivos ZIP. - Un ataque a la cadena de suministro para gobernarlos a todos
Explotación de ejecutores de GitHub Action autohospedados para
acceso persistente y ejecución de código arbitrario en la
infraestructura interna de GitHub para comprometer secretos de CI/CD y
potencialmente alterar las imágenes del ejecutor de GitHub para ataques a
la cadena de suministro. - Pérdida de token de OAuth CVE de draw.io
debido a una omisión de espacios en blanco en la validación de URL. - Filtración
de secretos de acciones de GitHub: lectura de archivos y variables de
entorno, interceptación de comunicación de red/proceso, volcado de
memoria
Aprovechamiento de la inyección de comandos en acciones de GitHub
para leer variables y archivos de entorno, interceptar comunicación de
red y proceso, y volcado de memoria para extraer secretos. - fuzzuli
Generación dinámica de listas de palabras basadas en
transformaciones de nombres de dominio para descubrir archivos de
respaldo. - El gusano de acciones de GitHub: comprometer repositorios de GitHub a través del árbol de dependencia de acciones
Aprovechar el árbol de dependencia de acciones de GitHub para
propagar malware de forma recursiva entre repositorios que utilizan
acciones comprometidas. - Desde un recorrido de ruta inocente del lado del cliente hasta el takeover de cuentas
Aprovechando el recorrido de ruta del lado del cliente en
solicitudes de recuperación y la redirección de errores de OAuth para la
apropiación de cuentas. - Investigación de seguridad de tRPC: búsqueda de vulnerabilidades en las API modernas
Aprovechamiento de errores de tipo y puntos finales del panel trpc
mal protegidos para identificar y explotar las vulnerabilidades de la
API de tRPC.
Powered by WPeMatico