Как наверное многие в курсе, сейчас идет финал выбора самых крутых техник атак на веб-приложения за год.

Все это организует Гроссман, результаты доступны тут:

http://blog.whitehatsec.com/top-ten-web-hacking-techniques-of-2012/

Здесь я решил потроллить финалистов, вот они:

Final 15 List (In no particular order)

  • Chrome addon hacking (2, 3, 4, 5)
  • Browser Event Hijacking (2, 3)
  • Attacking OData: HTTP Verb Tunneling, Navigation Properties for Additional Data Access, System Query Options ($select)
  • Cross-Site Port Attacks
  • CRIME (2)
  • Blended Threats and JavaScript
  • Pwning via SSRF (memcached, php-fastcgi, etc) (2, 3)
  • Bruteforcing/Abusing search functions with no-rate checks to collect data
  • Permanent backdooring of HTML5 client-side application
  • .Net Cross Site Scripting – Request Validation Bypassing
  • Bruteforce of PHPSESSID
  • XSS: Gaining access to HttpOnly Cookie in 2012
  • CAPTCHA Re-Riding Attack
  • Bypassing Flash’s local-with-filesystem Sandbox
  • Using WordPress as a intranet and internet port scanner

Что тут самое забавное? Тут целых три работы по SSRF!

  1. Cross-Site Port Attacks
  2. Pwning via SSRF (memcached, php-fastcgi, etc) (2, 3)
  3. Using WordPress as a intranet and internet port scanner

Это какое-то засилие одного и того же, которое просто ужасно смотриться.

Ну сами подумайте, как сюда вообще попало сканирование портов через вордпресс и его более общий случай, названный Cross-Site Port Attacks.

Не хочу никого ругать и все такое, но мне было бы просто стыдно подавать такие “техники” в рейтинг.

Давайте каждый эксполоит провозглашать техникой года :)

Остальное вполне понятно – мы с коллегами из ERPScan взяли один термин SSRF для обозначения атак, стали его использовать и попали в один ресёч. Вполне логично, мы же не идем двумя строками типа:

  • SSRF pwn SAP
  • SSRF pwn memcached/fasctgi/etc

Но портскан через вордпресс и CSPA в финале  Top-10, то есть по факту они уже в Top-15 – просто доставляет!

Люди чего-то нашли, мало того, что не поняли что нашли, так еще и использовать нормально не смогли это, полный факап, а не техника. Вот аргументы: http://lab.onsec.ru/2013/01/wordpress-xmlrpc-pingback-additional.html

Bypassing Flash’s local-with-filesystem Sandbox - хорошая штука, сам ее использовал еще в 2011м году (http://www.slideshare.net/phdays/ss-8359219). Ну и что здесь делает техника, опубликованная в 2011м!

Как можно было ее пропустить вообще? :(

Blended Threats and JavaScript явно не дотягивает – все было и так очевидно и известно, нового в этой атаке ничего имхо.

Bruteforcing/Abusing search functions with no-rate checks to collect data - пусть автор читает timing attacks, которые почему-то не вошли судя о_О. Там все еще больше и лучше описано.

XSS: Gaining access to HttpOnly Cookie in 2012 - очень хорошая идея, но уж очень незначительная и маленькая, на мой взгляд. Ну вот скажем, можно получить httpOnly куки через phpinfo(). Это очевидно и достойно хорошего твита, но никак не тянет на Top10…

Permanent backdooring of HTML5 client-side application - тоже не очень новая штука, может быть я предвзято отношусь, но все это уже давно было описано.

Теперь о хорошем – следующие работы считаю достойными:

  • CRIME (2)
  • Attacking OData: HTTP Verb Tunneling, Navigation Properties for Additional Data Access, System Query Options ($select)
  • Pwning via SSRF (memcached, php-fastcgi, etc) (2, 3)
  • .Net Cross Site Scripting – Request Validation Bypassing
  • Bruteforce of PHPSESSID
  • CAPTCHA Re-Riding Attack

Не забывайте, здесь рейтинг атак, а не исследований и хорошим примером является Bruteforce of PHPSESSID от коллег из PT-research. Они запилили крутейшую эксплуатацию, то есть провели атаку, описанную ранее без эксплоита другими людьми. Это по-настоящему достойное дело, а атаки новых многих новых исследования еще не имеют применения или не так критичны, поэтому не могут войти в этот список.

P.S. : Я бы отдал первое место CRIME атаке, остальное – пофигу. Ну и наверное, разумно было бы выше поднять атаки, релевантные для многих платформ, а не завязанные только на .Net или PHP…

P.P.S.: считаю что в этом списке не хватает Ruby атак десериализации YAML и Timing attacks.

Опомнитесь, люди!