Cada año, numerosos investigadores comparten sus hallazgos con la comunidad a través de presentaciones en conferencias, publicaciones en blogs, documentos técnicos, videos e incluso sencillas divulgaciones. En 2006 Jeremiah Grossman y Matt Johansen empezaron a evaluar junto con la comunidad infosec cuáles serían las 10 mejores técnicas de hacking web durante el año. En 2011 este proyecto saltó de su blog a la página de Whitehat, luego se detuvo en 2015 y en 2017 y hasta nuestros días lo publica PortSwigger.
Para 2020, durante las últimas semanas la Comunidad nominó 54 artículos, publicaciones y presentaciones innovadoras. De esa lista se votaron hasta obtener 15 técnicas candidatas. Finalmente, un panel de expertos compuesto por Nicolas Grégoire, Soroush Dalili, Filedescriptor y James Kettle votaron para el siguiente top 10 oficial:
- H2C Smuggling: Request Smuggling Via HTTP/2 Cleartext - Jake Miller
- Portable Data exFiltration: XSS for PDFs - Gareth Heyes
- Attacking Secondary Contexts in Web Applications - Sam Curry
- When TLS Hacks You - Joshua Maddux
- NAT Slipstreaming - Samy Kamkar
- Smuggling HTTP headers through reverse proxies - Robin Verton
- Unauthenticated RCE on MobileIron MDM - Orange Tsai
- ImageMagick - Shell injection via PDF password - Alex
- Attacking MS Exchange Web Interfaces - Arseniy Sharoglazov
- WAF evasion techniques - Paweł Hałdrzyński'
Fuente: https://portswigger.net/research/top-10-web-hacking-techniques-of-2020
Resultados de otros años: 2019, 2018, 2017, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006.
Comentarios
Publicar un comentario