2019年过去了，在这一年中，跟着Web功用运用的越加广泛化，针对Web层面的进犯也越加多样化和精细化。最近，由Portswigger公司建议的“2019年十大WEB黑客技能”出炉了！在开端的59个提名技能议题中，由社区投票初选出了15个，之后，又经由James Kettle、Nicolas Grégoire、Soroush Dalili和Filedescriptor组成的评定组评论之后，投票选出了终究十大最具立异性的WEB黑客技能。
评定组共同以为，这十大WEB黑客技能将能饱尝时刻检测，并会在未来几年内引发出更多的进犯面。咱们一同从第十名开端，来倒序整理2019年的这TOP 10 WEB黑客技能。
十、用跨站搜索（XS-Search）在谷歌问题盯梢渠道完成灵敏信息获取
Luan Herrera的这篇缝隙writeup，十分直接地点题：跨站搜索（XS-Search），对，这种类似于边信道的进犯，经过向方针站点发送搜索恳求，结合特定搜索功用，依据呼应时刻差异（XS-Timing），来消除不稳定的网络推迟，判别方针服务端隐私信息的准确性，直接绕过”同源战略“影响，是一种新式的Web进犯办法。在可搜索信息量较大，或方针服务端搜索功用多样化的场景下，是一种有用的信息获取手法。在未来，将会呈现更多的XS-Search缝隙。
九、经过公式注入（Formula Injection）的数据渗漏
安全研讨员Ajay和Balaji经过研讨谷歌表格（Spreadsheet）和LibreOffice，发现了其间的一系列数据渗漏（Data Exfiltration）技能。这些技能手法或许没有排名靠前的技能议题亮眼，但却十分有用上手，关于验证此类型缝隙来说十分有用。
假如你想切当知道歹意电子表格与web安全的联系，你能够细心检查其间的逗号分隔缝隙（Comma Separated Vulnerabilities）。当然，还有2019年初次被发现的服务端公式注入缝隙。
八、Prepare(): 一种新的WordPress缝隙运用办法
WordPress运用广泛，算是一个比较全面杂乱的内容管理体系了，以至于对它的每个缝隙运用都能成为一门独立学识。安全研讨员Robin Peraglie共享了他根据Slavco Mihajloski对PHP反序列化缝隙的剖析，深入研讨了WordPress中double prepared statements的缝隙运用。
七、运用本地DTD文件（文档类界说文件）完成XXE缝隙运用
对Blind XXE的缝隙运用，一般需求依赖于是否能够加载外部文件或进犯者保管文件，并且有时候，存在缝隙的服务端还会被防火墙把出站流量阻挠。怎么在这种惯例缝隙运用中立异办法办法呢？安全研讨员Arseniy Sharoglazov共享了他自己十分有构思的一种XXE运用办法，那便是经过对本地DTD文件的运用去绕过防火墙的检测机制。
虽然这种缝隙运用办法仅对某几种特定的XML解析器和装备办法有用，但一旦进犯成功，其要挟影响远超一般的DoS，能够构成对方针服务器的彻底操控。并且，在Twitter上，网友还对这种办法做出一种更灵敏的改善。
六、一种PHP反序列化缝隙：运用phar协议结构扩展PHP反序列化缝隙进犯面
此前或许小规模的圈子知道，运用形如phar://的PHP流的封装器，对一些如file_exists()看似无害的声响操作行为进行乱用，能够触发反序列化缝隙或完成长途代码履行（RCE）。在Sam Thomas的共享中，他以实际问题和包含WordPress在内的多个缝隙测验用例下手，进行了充沛的研讨印证。
五、对“现代”Web技能的一种进犯办法
Web大神Frans Rosen经过一系列牛叉的研讨标明，不论禁用与否，能够运用HTML5的运用缓存（AppCache）完成一系列美妙的缝隙运用。他还在其间评论了，运用客户端竞赛条件建议的postMessage进犯。
四、NodeJS运用中的原型污染进犯
不影响PHP结构的某种特定编程言语缝隙十分凶猛，Olivier Arteau在NorthSec会议上的共享便是这样的，他介绍了一种在NodeJS运用中，根据__proto__完成对方针服务器的长途代码履行进犯（RCE），这种进犯此前只适用于某些客户端运用中。作为测验来说，能够在Portswigger推出的Backslash Powered Scanner扫描插件中，经过增加__proto__ 作为规矩来对方针网站进行暂时性的缝隙测验。
三、逾越XSS：ESI符号言语注入（Edge Side Include Injection）
Edge Side Includes (ESI) 是一种符号言语，主要在常见的HTTP署理中运用。经过ESI注入技能能够导致服务端恳求假造（SSRF），绕过HTTPOnly cookie的跨站脚本进犯（XSS）以及服务端拒绝服务进犯。
连续了传统网络技能再次成为缝隙运用前言的主题，Louis Dion-Marcil发现，许多盛行的反向署理会被经过ESI注入办法，构成一些如SSRF的进犯。该高质量的技能议题研讨提醒了许多极具要挟的缝隙运用场景，别的，其间经过JSON呼应的HTML运用，标明其进犯威力远超XSS技能。
二、实战Web缓存投毒：从头界说 ‘Unexploitable’
在Portswigger技能总监James Kettle的发现共享中，他展现了怎么根据躲藏的HTTP头，运用歹意内容对Web缓存进行毒化。评定组共同以为，该技能是一种 “在传统基础上超卓而有深度的研讨”、“原创性强且研讨透彻”、“思路清晰又简练有用”。
一、Breaking Parser Logic! Take Your Path Normalization Off and Pop 0days Out
这是台湾白帽Orange Tsai（蔡政达）在2019 Black Hat USA上的议题，他介绍了怎么根据“不共同性”安全问题，综合运用4个功用性Bug，完成对亚马逊（Amazon）协同渠道体系的长途代码履行。因为该议题技能会对当下盛行的网站结构、独立服务器和反向署理类运用产生影响，考虑到其技能研讨的杰出有用性、强壮要挟危险和广泛影响规模，评定组共同引荐其为名副其实的第一名。这是继2019之后，Orange Tsai又一次连任TOP 10第一！牛！祝贺！