Las 10 mejores técnicas de hacking web en el 2020

Cada año, numerosos investigadores comparten sus hallazgos con la comunidad a través de presentaciones en conferencias, publicaciones en blogs, documentos técnicos, videos e incluso sencillas divulgaciones. En 2006 Jeremiah Grossman y Matt Johansen empezaron a evaluar junto con la comunidad infosec cuáles serían las 10 mejores técnicas de hacking web durante el año. En 2011 este proyecto saltó de su blog a la página de Whitehat, luego se detuvo en 2015 y en 2017 y hasta nuestros días lo publica PortSwigger.

Para 2020, durante las últimas semanas la Comunidad nominó 54 artículos, publicaciones y presentaciones innovadoras. De esa lista se votaron hasta obtener 15 técnicas candidatas. Finalmente, un panel de expertos compuesto por Nicolas Grégoire, Soroush Dalili, Filedescriptor y James Kettle votaron para el siguiente top 10 oficial:

  1. H2C Smuggling: Request Smuggling Via HTTP/2 Cleartext - Jake Miller
  2. Portable Data exFiltration: XSS for PDFs - Gareth Heyes
  3. Attacking Secondary Contexts in Web Applications - Sam Curry
  4. When TLS Hacks You - Joshua Maddux
  5. NAT Slipstreaming - Samy Kamkar
  6. Smuggling HTTP headers through reverse proxies - Robin Verton
  7. Unauthenticated RCE on MobileIron MDM - Orange Tsai
  8. ImageMagick - Shell injection via PDF password - Alex
  9. Attacking MS Exchange Web Interfaces - Arseniy Sharoglazov
  10. WAF evasion techniques - Paweł Hałdrzyński'

Fuente: https://portswigger.net/research/top-10-web-hacking-techniques-of-2020

Resultados de otros años: 2019, 2018, 2017, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 20072006.

Comentarios