强化安全防御,不只是看防守,也要懂得掌握最新攻击趋势,网站安全也是如此。一方面可参考OWASP Top 10披露常见的网站应用程序弱点,帮助软件开发安全,另一方面,每年也有无数的安全研究人员分享各自的发现,不管是攻击技术的改进,实证研究,或是全新的技术。只是这方面的信息量庞大且零散,尽管有些人已经在大型安全会议上分享,但也有些人的技术发布可能被忽略了。
去年恢复举行的10大网站黑客技法活动,今年继续由网站安全公司PortSwigger举办,让关注网站安全议题的研究人员,可以一网打尽每年创新且重要的各式攻击技巧发现,几乎被视为研究人员的知识库之一。
更受注目的是,在2017年度获得这项活动第一的网站攻击技术,是由台湾的安全研究人员Orange Tsai(蔡政达)提出,更难得的是,他在2018年新的成果──“打破解析器逻辑,绕过路径范式并发现零时差漏洞”,再次获得全球网站安全研究人员的青睐与肯定,完成二连冠。
关于这项活动的发起,其实已超过10年,但在2015年后一度停止举办。直到去年7月,另由PortSwigger首席研究员James Kettle发起。为此,他将每年向社群呼呼吁帮助他们,找出每年具有价值的新研究,并通过评选机制提炼出每年最好部分,供未来的安全研究人员阅读,并激发出更多创新想法。
在2018年结束后,这项活动即在今年1月1日启动,在社群上接受提名,并有59项提名入选。接着,在1月21日通过社群投票选出前15名的候选名单,并于2月11日再由专家小组投票选出前10名。最后,于2月27日在PortSwigger网站上公布结果。
其中,获选年度第一的提名项目,是由Orange Tsai发布的“Breaking Parser Logic! Take Your Path Normalization Off and Pop 0days Out”,这是他在2018年8月的Black Hat USA与DEF CON大会上所分享。
而在这次结果颁布中,James Kettle也说明此项网站攻击技法,不仅打开了全新的攻击方向,并有着相当广泛的影响。因此能在59项提名中,获得众多社群研究人员的肯定,成为年度最佳技术,这也让台湾的安全研究人员持续在国际扬名。
关于Orange Tsai,过去他曾积极参与漏洞奖励计划,帮助企业寻找漏洞,也参与过全球网络攻防竞赛,并担任台湾HITCON战队队长,现在任职于安全公司戴夫寇尔(DEVCORE)顾问一职。对于这次票选活动,他提到自己这次其实忘了投票,不过从评选这个Top 10的主要用意而言,他认为就是要选出新的攻击手法、新的攻击面。而这次能够再次受到领域人士肯定,主要也是因为突显出架构层面上的问题,并发现了新的攻击面。
而且,这样的概念并不只是理论可行,也是能够真的被广泛应用到实际的攻击,成为黑客新的攻击手法。换言之,也意味着这种架构层面的问题,将成为网站安全需注意的新面向。
在网页架构越来越复杂的今日,隐含的架构层面问题成新焦点
关于此次提出的全新攻击面向,对网站安全所带来的影响,简单来说,首先是在处理路径范式方面,多数人认为这已经是一个被解决的问题,但Orange Tsai认为,随着软件规模的扩张,以及架构的交替,其实也将会带来瑕疵。也就是说,这样的问题可能存在多年,但长期被低估或忽视。
因此,他便着手对现有的软件应用寻找弱点,以证明此类瑕疵的存在,并让大家能够重视。后续,通过他所找到的方法,他在基于Java语言的Spring Framework,以及基于Ruby语言的Ruby on Rails,还有Nginx网页服务器上,便找到存在类似的漏洞可以被攻击。也就是说,在此方法之下,在热门程序语言编写的Web框架中,可以找出了许多零时差漏洞。
另一受关注的是,此全新攻击面还将影响到网站后端是Java程序语言的反向代理(Reverse Proxy)架构。而这也意味着,对于采用此架构的大型企业、政府网站或是银行而言,需要特别注意这方面的弱点。
另外,由于之前他提出的“SSRF的新时代”,已经提到一个概念是“不一致”的错误,与这次有何不同?他也进一步解释, 主要是攻击方式不一样,但“不一致的”概念一样,先前他是将此概念放在SSRF的保护,以及URL解析器上,这次他则是把这个概念,放到多层次的网页架构上,因此带来的影响层面更广。
他并指出,现今的网页架构越来越复杂,很多时候不能只是确保某个组件或软件没有漏洞。以这次的攻击手法而言,他举例,在多层次的架构下,A 层看起来没问题,B 层看起来没问题,但搭配在一起就产生了问题。此外,他也用Nginx与Tomcat对于同样网址的解析,来举例说明这样的概念,例如一端的Nginx认为`/..;/`是正常路径,但另一端的Tomcat则认为`/..;/ `是前一层目录,这其中的不一致,就能导致安全检查被绕过,而被访问到原先不能访问的内部应用。
不论如何,网站安全的问题越来越受企业重视,只是从国内的漏洞通报现况来看,台湾企业组织的网站在基本安全方面还有待努力,尤其是以往已经常见的SQL Injection与XSS漏洞,还是网站安全问题的大宗。而从整体趋势来看,随着当今的网页架构越来越复杂,基本的漏洞问题应该是要越来越少见,而关于多层次架构下会产生的问题,看起来会是值得关注的新趋势。
对此,Orange Tsai也指出,在这几年的Black Hat上也出现相关研究,例如2017年的“Web Cache Deception Attack”,以及2018年的“Practical Web Cache Poisoning: Redefining ‘Unexploitable’”,也突显此类议题将会越来越常见。