Vota las mejoras técnicas de hacking web de 2023

¡Ya están abiertas las nominaciones para las 10 mejores nuevas técnicas de hacking web de 2023 de Portswigger!

Durante el último año, numerosos investigadores de seguridad compartieron sus descubrimientos con la comunidad a través de publicaciones de blogs, presentaciones y documentos técnicos. Muchas de estas publicaciones contienen ideas innovadoras que esperan que la persona adecuada las adapte y las combine en nuevos descubrimientos en el futuro.

Sin embargo, el gran volumen puede hacer que las buenas técnicas se pasen por alto y se olviden rápidamente. Desde 2006, la comunidad se ha unido todos los años para ayudar mediante la creación de dos recursos valiosos.

• Una lista completa de todas las investigaciones destacadas sobre seguridad web del último año
• Una lista refinada de los diez trabajos más valiosos

Te recomiendo echar un ojo al archivo completo del proyecto para conocer los nominados y ganadores anteriores.

Las votaciones de 2023

El calendario para este año es el siguiente:

• Del 9 al 21 de enero: recopilación de nominaciones de la comunidad.
• 23-30 de enero: votación de la comunidad para crear una lista con los 15 mejores
• 1-13 de febrero: votación del panel de expertos sobre los 15 finalistas
• 15 de febrero: ¡Resultados anunciados!

¿Qué debo nominar?

El objetivo es destacar investigaciones que contengan técnicas novedosas y prácticas que puedan reaplicarse a diferentes sistemas. Las vulnerabilidades individuales como log4shell son valiosas en ese momento, pero envejecen relativamente mal, mientras que las técnicas subyacentes como la inyección JNDI a menudo se pueden volver a aplicar con gran efecto. Las nominaciones también pueden ser mejoras a clases de ataques ya conocidas, como Explotación de XXE con archivos DTD locales. Para obtener más ejemplos, puede que te resulte útil consultar los 10 mejores del año anterior.

Cómo hacer una nominación

Para enviar una propuesta, simplemente proporciona una URL de la investigación y un breve comentario opcional que la explique. ¡Siéntete libre de hacer tantas nominaciones como quieras y nomina tu propio trabajo si crees que vale la pena!

Haga clic aquí para enviar una nominación

Nominaciones hasta ahora

• Saqueando tokens de restablecimiento de contraseña
  Ataque de fuerza bruta en aplicaciones Ruby on Rails utilizando la biblioteca Ransack, para filtrar tokens de restablecimiento de contraseña a través de la coincidencia de prefijos, carácter por carácter, a través de filtros de búsqueda.
  
  
• mTLS: cuando la autenticación de certificados se realiza incorrectamente
  Vulnerabilidades en mutual-TLS que conducen a la suplantación de usuario, escalada de privilegios y fuga de información.
  
  
• Destrozando la máquina de estados: el verdadero potencial de las condiciones de carrera web
  Concepto de "todo es de varios pasos" para las condiciones de carrera web, ampliando el alcance del ataque tradicional de superación de límites mediante la explotación de subestados ocultos dentro de las aplicaciones web e introduciendo un sistema "resistente a las fluctuaciones" ataque de un solo paquete".
  
  
• Bypass de firewalls con errores con of-CORs y typo-squatting
  Explotación de recursos compartidos entre orígenes (CORS) en redes internas utilizando dominios de typo-squatting para investigar y exfiltrar datos confidenciales sin violar las reglas de bug bounty.
  
  
• RCE mediante truncamiento de LDAP en hg.mozilla.org
  Se logró la ejecución remota de código (RCE) en el servidor de Mozilla aprovechando el truncamiento de consultas LDAP con inyección de bytes NULL para bypassear la sanitización de entradas, lo que permite la inyección de comandos.
  
  
• Errores de cookies: smuggling e inyección
  Explotación del análisis inconsistente de valores de cookies entrecomillados, lo que lleva al smuggling de cookies, y cómo los delimitadores incorrectos permiten la inyección de cookies, lo que permite la suplantación de tokens CSRF y posibles omisiones de autenticación.
  
  
• La validación de URI de redireccionamiento de OAuth 2.0 se queda corta, literalmente,
  explotación de OAuth a través de confusión de paths.
  
  
• Prototipo pollution en Python
  Clase de pollution en Python mediante funciones de combinación recursivas que manipulan atributos especiales `__class__`.
  
  
• Vulnerabilidades de Pretalx: cómo ser aceptado en cada conferencia
  Aprovechando los enlaces de configuración específicos del sitio de Python para archivos .pth para obtener ejecución de código arbitrario a través de una vulnerabilidad de escritura de archivos limitada.
  
  
• De Akamai a F5 a NTLM... con amor.
  Aprovechar el smuggling de solicitudes HTTP y el envenenamiento de caché a través de los sistemas Akamai y F5 BIGIP para redirigir y robar datos confidenciales, incluidos tokens de autorización y credenciales NTLM.
  
  
• ¿Puedo hablar con su gerente? hackear servidores raíz EPP para tomar el control de zonas
  Explotar vulnerabilidades XXE en servidores EPP y divulgación de archivos locales en el software de registro CoCCA para obtener control de zonas ccTLD completas.
  
  
• Exfiltración ciega de CSS: exfiltración de páginas web desconocidas.
  Uso de CSS: tiene un selector para realizar una filtración ciega de datos confidenciales sin JavaScript.
  
  
• Comprometer F5 BIGIP con smuggling de solicitudes
  Eludir el control de acceso mediante la explotación de configuraciones erróneas del servidor Nginx.
  
  
• Contaminación de prototipos del lado del servidor: detección de caja negra sin DoS
  Aprovechamiento de técnicas no destructivas como la manipulación de respuestas JSON y la inyección de encabezado CORS para la detección segura de cajas negras de la contaminación de prototipos del lado del servidor.
  
  
• Trucos para una vinculación de DNS confiable en una fracción de segundo en Chrome y Safari
  Explotación de las respuestas DNS retrasadas con Safari y la priorización de IPv6 de Chrome para realizar ataques de vinculación de DNS en una fracción de segundo.
  
  
• HTML Over the Wire
  Explotación de las funciones de las bibliotecas "HTML Over the Wire" para la fuga de tokens CSRF a través de solicitudes POST de origen cruzado con enlaces inyectados.
  
  
• SMTP smuggling: falsificación de correos electrónicos en todo el mundo
  Explotación de las diferencias en la interpretación del protocolo SMTP para eludir las comprobaciones de validación de correo electrónico SPF y DMARC y enviar correos electrónicos falsificados.
  
  
• Condición de carrera basada en DOM: competir en el navegador por diversión - Blog de RyotaK
  Explotación de las condiciones de carrera en aplicaciones AngularJS retrasando la carga de AngularJS con un ataque de agotamiento del grupo de conexiones para habilitar XSS basado en DOM a través de datos pegados del portapapeles con directivas ng-.
  
  
• No estás donde crees que estás, vulnerabilidades de suplantación de la barra de direcciones de los navegadores Opera
  Técnicas de suplantación de la barra de direcciones en los navegadores Opera, que explotan funciones como URL de intención, actualizaciones de extensiones y modo de pantalla completa
  
  
• CVE-2022-4908: Omisión de SOP en Chrome usando la API de navegación
  Abusar de `navigation.entries()` de la API de navegación para filtrar la matriz del historial de navegación de ventanas de origen cruzado.
  
  
• Gadgets SSO: Escale (Self-)XSS a ATO
  Aprovechando los gadgets SSO en implementaciones OAuth2/OIDC para convertir Self-XSS a ATO.
  
  
• Tres nuevos ataques contra tokens web JSON
  Nuevos defectos de implementación de JWT
  
  
• Presentamos wrapwrap: uso de filtros PHP para envolver un archivo con un prefijo y sufijo
  Aprovechamiento de cadenas de filtros PHP para anteponer y agregar contenido arbitrario a los datos del archivo, facilitando SSRF a RCE y ataques de inclusión de archivos locales.
  
  
• Cadenas de filtros PHP: lectura de archivos desde Oracle basado en errores.
  Combinación de agotamiento de la memoria y codificación de traducciones a través de cadenas de filtros PHP para realizar fugas de contenido de archivos locales basadas en errores.
  
  
• Omisión de redireccionamiento entre protocolos SSRF
  Omitir los filtros SSRF mediante el redireccionamiento entre protocolos de HTTPS a HTTP.
  
  
• Un nuevo vector para la escritura de archivos arbitrarios "sucios" en RCE
  Aprovechando el análisis de configuración uWSGI para la ejecución remota de código a través de un PDF contaminado que utiliza contenido polimórfico y comportamiento de recarga automática.
  
  
• Cómo hackeé Microsoft Teams y obtuve $150,000 en Pwn2Own
  RCE en Microsoft Teams a través de una combinación de errores que incluyen XSS a través de mensajes de chat, falta de aislamiento de contexto y ejecución de JS fuera del entorno sandbox.
  
  
• Los clientes de AWS WAF quedaron vulnerables a la inyección de SQL debido a una elección de diseño poco ortodoxa de MSSQL
  que termina las consultas de MSSQL con ' ' en lugar de ';' para omitir AWS WAF.
  
  
• BingBang: La mala configuración de AAD llevó a la manipulación de los resultados de Bing.com y a la apropiación de cuentas.
  Aprovechar la mala configuración de multi-tenants de AAD para el acceso no autorizado a las aplicaciones, lo que llevó a la manipulación de los resultados de Bing.com y a ataques XSS.
  
  
• Panel de administración de MyBB RCE CVE-2023-41362
  Explotación del retroceso catastrófico (backtracking) en la expresión regular del panel de administración de MyBB para evitar los controles de seguridad de la plantilla y ejecutar código arbitrario.
  
  
• Código fuente en riesgo: vulnerabilidad de código crítico en la plataforma CI/CD TeamCity
  Eludiendo la verificación de autenticación del servidor TeamCity mediante el manejo no sanitizado de la entrada para las rutas de preinterceptor de manejo de solicitudes.
  
  
• Las vulnerabilidades del código ponen en riesgo los correos electrónicos de Skiff.
  Eludir la desinfección de HTML de Skiff para lograr XSS y robar correos electrónicos descifrados.
  
  
• ¿Cómo romper SAML si tengo "patas"?
  Atacar implementaciones SAML mediante ajuste de firmas XML, inyecciones de texto sin formato, exclusión de firmas, validación de certificados defectuosos y más.
  
  
• Revisión de la explotación de JMX
  Uso de JMX StandardMBean y RequiredModelMBean para RCE mediante la creación dinámica de MBean y la invocación de métodos arbitrarios.
  
  
• Restricciones de explotación de Java en tiempos modernos de JDK
  Evitar las restricciones de ejecución de gadgets de deserialización de Java en JDK modernos utilizando la API de JShell para versiones de JDK >= 15 y --add-opens con Reflection para JDK >= 16.
  
  
• Explotación de la deserialización reforzada de .NET
  Eludir la seguridad de deserialización de .NET mediante novedosas cadenas de dispositivos.
  
  
• No serializable, pero inalcanzable: ejecución remota de código en vBulletin
  Explotación de la carga automática de clases en PHP para la ejecución remota de código mediante la inclusión de archivos arbitrarios mediante payloads de deserialización diseñadas en vBulletin.
  
  
• DuoDrop sin cookies: IIS Auth Bypass y App Pool Privesc en ASP.NET Framework
  Omitir la autenticación de IIS y suplantar las identidades del grupo de aplicaciones principal en ASP.NET utilizando un patrón doble sin cookies.
  
  
• Buscando cruces de alias de Nginx in the wild
  Aprovechando las configuraciones erróneas de los alias de Nginx para ataques de cruce de directorios.
  
  
• Analizador de DNS: búsqueda de vulnerabilidades de DNS con Burp Suite
  Uso de Burp Collaborator con la extensión DNS Analyzer para identificar vulnerabilidades de DNS que facilitan los ataques de envenenamiento de caché de DNS al estilo Kaminsky.
  
  
• Oh-Auth: Abusar de OAuth para hacerse cargo de millones de cuentas.
  Manipular la lógica de verificación de tokens de OAuth para facilitar la apropiación de cuentas.
  
  
• nOAuth: Cómo una mala configuración de Microsoft OAuth puede llevar a la apropiación total de la cuenta
  Aprovechando la reclamación de "correo electrónico" mutable y no verificado dentro de las aplicaciones Microsoft Azure AD OAuth para la apropiación de cuentas.
  
  
• Un esquema para gobernarlos a todos: apropiación de cuentas de OAuth
  Explotación de OAuth con suplantación de aplicaciones mediante el secuestro de esquemas personalizados para apropiación de cuentas.
  
  
• Explotación de inconsistencias de los analizadores HTTP
  Explotación de inconsistencias del analizador HTTP para omisión de ACL y envenenamiento de caché.
  
  
• Nuevas formas de romper los LLM integrados en aplicaciones.
  Ataques indirectos de inyección rápida en LLM integrados en aplicaciones que permiten el control remoto, la exfiltración de datos y el compromiso persistente.
  
  
• Estado de DNS rebinding en 2023
  Avances y tendencias en los ataques de rebinding de DNS, examinando su efectividad frente a las medidas de seguridad web modernas
  
  
• Ejecución remota de código sin archivos en Juniper Firewalls
  Técnica de manipulación de variables de entorno PHP que evita la necesidad de cargar un archivo, explotando la función PHP auto_prepend_file y el manejo de variables de entorno y stdin por parte del servidor web Appweb.
  
  
• Trece años después: ¡Avanzando en la comprensión de la divulgación de nombres de archivos cortos (SFN) de IIS!
  Revelar nombres de archivos completos en IIS que contienen patrones ~DIGIT utilizando técnicas de enumeración de nombres de archivos.
  
  
• Metamask Snaps: jugando en la arena
  Explotación de la ejecución de código que no es de confianza mediante la derivación de desinfección JSON dentro del entorno de Metamask Snaps.
  
  
• Descubriendo una loca escalada de privilegios desde las extensiones de Chrome
  Escalada a la ejecución de código arbitrario a través de chrome:// URL XSS y sistema de archivos: abuso de protocolo en las extensiones de Chrome en ChromeOS.
  
  
• Las vulnerabilidades del código ponen en riesgo los correos de Proton Mail
  . DOMPurify evita la desinfección en Proton Mail mediante el cambio de nombre de svg a proton-svg, lo que conduce a XSS.
  
  
• Hackear gRPC-Web
  Explotar gRPC-Web para descubrir servicios y parámetros ocultos, lo que genera vulnerabilidades como la inyección SQL.
  
  
• Yelp ATO a través de XSS + Cookie Bridge
  Lograr la adquisición de cuenta (ATO) en yelp.com y biz.yelp.com a través de Cross-Site Scripting (XSS) junto con Cookie Bridging.
  
  
• Explotación de vulnerabilidades de división de solicitudes HTTP
  Aprovechando las configuraciones erróneas de nginx para realizar la división de solicitudes HTTP mediante caracteres de control en variables.
  
  
• XSS en correo electrónico dinámico de GMAIL
  La explotación del análisis de CSS en AMP para correo electrónico de Gmail permitió la inyección de metaetiquetas para posible phishing, evitando CSP estricto sin XSS efectivo.
  
  
• Uso indebido de criptografía de Azure B2C y compromiso de la cuenta
  Extracción de claves RSA públicas para crear tokens de actualización de OAuth válidos y comprometer las cuentas de usuario de Azure AD B2C.
  
  
• Comprometer F5 BIGIP con smuggling de solicitudes
  Explotar el protocolo AJP con smuggling de solicitudes HTTP para evitar la autenticación y ejecutar comandos arbitrarios del sistema en sistemas F5 BIG-IP identificados por CVE-2023-46747.
  
  
• EmojiDeploy: ¡Sonríe! Su servicio web de Azure acaba de obtener RCE.
  Explotación de una configuración incorrecta en el mismo sitio y omisión de verificación de origen en Azure Kudu SCM para lograr RCE a través de CSRF a través de implementaciones de archivos ZIP.
  
  
• Un ataque a la cadena de suministro para gobernarlos a todos
  Explotación de ejecutores de GitHub Action autohospedados para acceso persistente y ejecución de código arbitrario en la infraestructura interna de GitHub para comprometer secretos de CI/CD y potencialmente alterar las imágenes del ejecutor de GitHub para ataques a la cadena de suministro.
  
  
• Pérdida de token de OAuth CVE de draw.io
  debido a una omisión de espacios en blanco en la validación de URL.
  
  
• Filtración de secretos de acciones de GitHub: lectura de archivos y variables de entorno, interceptación de comunicación de red/proceso, volcado de memoria
  Aprovechamiento de la inyección de comandos en acciones de GitHub para leer variables y archivos de entorno, interceptar comunicación de red y proceso, y volcado de memoria para extraer secretos.
  
  
• fuzzuli
  Generación dinámica de listas de palabras basadas en transformaciones de nombres de dominio para descubrir archivos de respaldo.
  
  
• El gusano de acciones de GitHub: comprometer repositorios de GitHub a través del árbol de dependencia de acciones
  Aprovechar el árbol de dependencia de acciones de GitHub para propagar malware de forma recursiva entre repositorios que utilizan acciones comprometidas.
  
  
• Desde un recorrido de ruta inocente del lado del cliente hasta el takeover de cuentas
  Aprovechando el recorrido de ruta del lado del cliente en solicitudes de recuperación y la redirección de errores de OAuth para la apropiación de cuentas.
  
  
• Investigación de seguridad de tRPC: búsqueda de vulnerabilidades en las API modernas
  Aprovechamiento de errores de tipo y puntos finales del panel trpc mal protegidos para identificar y explotar las vulnerabilidades de la API de tRPC.