هر ساله افرادی که در زمینه امنیت فعالیت دارن ، یافته های خودشون رو بصورت مقالات ، پست های وبلاگی و کنفرانس ها ارائه میدن. اما مشکل اینجاست که گاهی مقالات جالب به چشم نمیاد و حتی مقالات جالب بعد یه مدتی از یادها میره.
از سال 2006 جامعه امنیت به کمک Jeremiah Grossman و Matt Johansen اقدام به انتخاب 10 تکنیک برتر در وب هکینگ کردن. این امر دو تا هدف پشتش هست :
- یکی اینکه به جامعه امنیت ، ده مقاله رو معرفی میکنه که باید بخونندش
- و دیگری هم موضوعاتی برای محققین که بتونن روش تحقیق کنن.
این پروژه برای اولین بار توسط وبلاگ Jeremiah شروع شد و بعدش در سال 2011 به WhiteHat انتقال یافت.
در سال 2015 متوقف شد ، تا اینکه از 2017 توسط PortSwigger راه انداخته شد و تا الان هر ساله داره برگزار میشه. برای مشاهده لیست نامزدهای قدیمی میتونید اینجا رو ببینید تا ایده بگیرید.
برنامه ریزی این رخداد برای سال 2022 :
- بین 4 – 15 ژانویه (14 دی تا 25 دی) فرصت برای ارسال مقالات هستش.
- بین 17 تا 24 ژانویه (27 دی تا 4 بهمن) ، جامعه 15 مقاله برتر رو انتخاب میکنه.
- 26 ژانویه (6 بهمن) لیست 10 نامزد برتر برای رای گیری گذاشته میشه.
- در نهایت 7 فوریه (18 بهمن )، اسامی نهایی 10 مقاله برتر منتشر میشه.
چه مقالاتی رو بفرستیم ؟
ایده اصلی روی تکنیکهایی هست که حاوی تکنیکهای جدید و عملی باشه و بشه روی تارگتها دوباره تست کرد. مثلا آسیب پذیری log4shell اگرچه خیلی پر سر و صدا بود اما کم کم از بین رفت و الان کمتر میشه از این آسیب پذیری استفاده کرد اما تکنیکی مثله JNDI Injection هنوزم قابل استفاده هستش و میتونه تو این لیست قرار بگیره.
چطوری نامزد بشیم :
برای اینکه نامزد بشید یه URL از مقاله و یه توضیح مختصر از اینکه چه کار جدیدی انجام دادید، باید بفرستید. تعداد هم مهم نیست.
نکته : این چالش برای مقالات سال 2022 هستش.
برای ارسال هم میتونید از اینجا استفاده کنید.
یسری مقاله هم تا این لحظه پیشنهاد داده شده :
Disclosing information with a side-channel in Django
PHP filters chain: What is it and how to use it
Worldwide Server-side Cache Poisoning on All Akamai Edge Nodes
Caching the Un-cacheables – Abusing URL Parser Confusions
Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
Discovering Domains via a Time-Correlation Attack on Certificate Transparency
FRAMESHIFTER: Security Implications of HTTP/2-to-HTTP/1 Conversion Anomalies
{JS-ON: Security-OFF}: Abusing JSON-Based SQL to Bypass WAF
Let’s Dance in the Cache – Destabilizing Hash Table on Microsoft IIS!
A story of leaking uninitialized memory from Fastly
Hacking Salesforce-backed WebApps
Practical client-side path-traversal attacks
Making HTTP header injection critical via response queue poisoning
Exploiting Inter-Process Communication in SAP’s HTTP Server
Melting the DNS Iceberg: Taking over your infrastructure Kaminsky style
Account hijacking using “dirty dancing” in sign-in OAuth-flows
ده مقاله برتر سال 2022 :
1 – Account hijacking using dirty dancing in sign-in OAuth-flows
2 – Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
3 – Zimbra Email – Stealing Clear-Text Credentials via Memcache injection
4 – Hacking the Cloud with SAML
5 – Bypassing .NET Serialization Binders
6 – Making HTTP header injection critical via response queue poisoning
7 – Worldwide Server-side Cache Poisoning on All Akamai Edge Nodes
8 – Psychic Signatures in Java
9 – Practical client-side path-traversal attacks
10 – Exploiting Web3’s Hidden Attack Surface: Universal XSS on Netlify’s Next.js Library