今年1月,PortSwigger网站发布了
换言之,随著最新的10大网站攻击技法出炉,也意味已经帮助大家选出年度最好的部分。 这次,台湾资安研究人员能够再次从中脱颖而出,获选为第1名与第4名,更是难得。而且两项都与台湾资安公司戴夫寇尔(DEVCORE)首席资安研究员Orange Tsai(蔡政达)有关。 事实上,蔡政达在
这次获选第1名的研究,是蔡政达在2024年8月于美国黑帽大会首度公开发表的内容,其标题是:「Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server」。 他当时还因为赴美签证的问题,无法前往,让黑帽大会破例同意以预录影片方式公开发表,后续他亦在同一个月,在继续阅读:继续阅读: 1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server – Orange Tsai 资料来源:PortSwigger,iThome整理,2025年2月 台湾资安研究人员发表2项内容从103项提名脱颖而出,入选第1名与第4名
2024年度十大网站攻击技术手法一览
2. SQL Injection Isn’t Dead: Smuggling Queries at the Protocol Level – Paul Gerste
3. Unveiling TE.0 HTTP Request Smuggling – Paolo Arnolfo、Guillermo Gregorio、 @_medusa_1_
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI – Orange Tsai、Splitline
5. Exploring the DOMPurify library: Bypasses and Fixes – Mizu
6. DoubleClickjacking: A New Era of UI Redressing – Paulos Yibelo
7. CVE-2024-4367 – Arbitrary JavaScript execution in PDF.js – Thomas Rinsma
8. OAuth Non-Happy Path to ATO – Oxrz
9. ChatGPT Account Takeover – Wildcard Web Cache Deception– Harel
10. Hijacking OAuth flows via Cookie Tossing – Elliot Ward