۱۴۰۵/۰۴/۱۱🛡️ PortSwigger Research
📖 5 دقیقه

برترین تکنیک‌های هک وب در سال ۲۰۲۵

بررسی ۱۰ تکنیک برتر هک وب در سال ۲۰۲۵ شامل SSRF، SSTI، XS-Leak و مسمومیت کش. راهکارهای امنیتی افتاچک برای مقابله با این تهدیدات.

به نوزدهمین نسخه از لیست برترین تکنیک‌های هک وب خوش آمدید. این لیست حاصل همکاری جامعه امنیتی و رأی‌گیری کارشناسان است. در این مقاله، ۱۰ تکنیک برتر سال ۲۰۲۵ را مرور می‌کنیم.

۱۰. تفاوت‌های تفسیر (Parser Differentials)

ارائه‌ای از @joernchen که نشان می‌دهد چگونه تفاوت در تفسیر کد می‌تواند به آسیب‌پذیری منجر شود. این تحقیق شامل مطالعه موردی روی زبان‌ها و فریم‌ورک‌های مختلف است.

۹. بازی با HTTP/2 CONNECT

تحقیق @flomb در مورد سوءاستفاده از پروتکل HTTP/2 CONNECT برای اسکن پورت داخلی. با گسترش پشتیبانی از HTTP/2 CONNECT، این تکنیک بسیار ارزشمند است.

۸. XSS-Leak: نشت تغییرمسیرهای بین‌دامنه‌ای

حمله‌ای از Salvatore Abello که از الگوریتم اولویت‌بندی اتصال کروم برای نشت نام میزبان‌های تغییرمسیر استفاده می‌کند.

۷. Next.js، کش و زنجیره‌ها

تحقیق Rachid Allam در مورد مسمومیت کش داخلی در Next.js که منجر به یک آسیب‌پذیری بحرانی شد.

۶. نشت طول ETag بین‌سایتی

تکنیکی از Takeshi Kaneko که با استفاده از لبه‌های مختلف، اندازه پاسخ را بین‌دامنه نشت می‌دهد.

۵. SOAPwn: نفوذ به برنامه‌های .NET

تحقیق Piotr Bazydło که یک نقص در HttpWebClientProtocol را به RCE در محصولات متعدد تبدیل می‌کند.

۴. گمشده در ترجمه: بهره‌برداری از نرمال‌سازی یونیکد

ارائه Ryan و Isabella Barnett که حملات نرمال‌سازی یونیکد را با ابزارهای عملی ترکیب می‌کند.

۳. تکنیک جدید SSRF با حلقه‌های تغییرمسیر HTTP

تکنیک @shubs برای قابل مشاهده کردن SSRF کور.

۲. نشت ORM فراتر از انتظار

تحقیق Alex Brown که نشت ORM را از یک آسیب‌پذیری خاص به یک روش‌شناسی عمومی تبدیل می‌کند.

۱. خطاهای موفق: تکنیک‌های جدید تزریق کد و SSTI

تحقیق Vladislav Korchagin که تکنیک‌های جدید مبتنی بر خطا برای بهره‌برداری از SSTI کور معرفی می‌کند.

نتیجه‌گیری

سال ۲۰۲۵ شاهد ظهور کانال‌های جانبی به عنوان یک روش اصلی بهره‌برداری بود. باید دید این روند در ۲۰۲۶ ادامه می‌یابد یا خیر.

منبع این مقاله:PortSwigger Research

این مقاله توسط تیم افتاچک ترجمه و خلاصه‌سازی شده است.