به نوزدهمین نسخه از لیست برترین تکنیکهای هک وب خوش آمدید. این لیست حاصل همکاری جامعه امنیتی و رأیگیری کارشناسان است. در این مقاله، ۱۰ تکنیک برتر سال ۲۰۲۵ را مرور میکنیم.
۱۰. تفاوتهای تفسیر (Parser Differentials)
ارائهای از @joernchen که نشان میدهد چگونه تفاوت در تفسیر کد میتواند به آسیبپذیری منجر شود. این تحقیق شامل مطالعه موردی روی زبانها و فریمورکهای مختلف است.
۹. بازی با HTTP/2 CONNECT
تحقیق @flomb در مورد سوءاستفاده از پروتکل HTTP/2 CONNECT برای اسکن پورت داخلی. با گسترش پشتیبانی از HTTP/2 CONNECT، این تکنیک بسیار ارزشمند است.
۸. XSS-Leak: نشت تغییرمسیرهای بیندامنهای
حملهای از Salvatore Abello که از الگوریتم اولویتبندی اتصال کروم برای نشت نام میزبانهای تغییرمسیر استفاده میکند.
۷. Next.js، کش و زنجیرهها
تحقیق Rachid Allam در مورد مسمومیت کش داخلی در Next.js که منجر به یک آسیبپذیری بحرانی شد.
۶. نشت طول ETag بینسایتی
تکنیکی از Takeshi Kaneko که با استفاده از لبههای مختلف، اندازه پاسخ را بیندامنه نشت میدهد.
۵. SOAPwn: نفوذ به برنامههای .NET
تحقیق Piotr Bazydło که یک نقص در HttpWebClientProtocol را به RCE در محصولات متعدد تبدیل میکند.
۴. گمشده در ترجمه: بهرهبرداری از نرمالسازی یونیکد
ارائه Ryan و Isabella Barnett که حملات نرمالسازی یونیکد را با ابزارهای عملی ترکیب میکند.
۳. تکنیک جدید SSRF با حلقههای تغییرمسیر HTTP
تکنیک @shubs برای قابل مشاهده کردن SSRF کور.
۲. نشت ORM فراتر از انتظار
تحقیق Alex Brown که نشت ORM را از یک آسیبپذیری خاص به یک روششناسی عمومی تبدیل میکند.
۱. خطاهای موفق: تکنیکهای جدید تزریق کد و SSTI
تحقیق Vladislav Korchagin که تکنیکهای جدید مبتنی بر خطا برای بهرهبرداری از SSTI کور معرفی میکند.
نتیجهگیری
سال ۲۰۲۵ شاهد ظهور کانالهای جانبی به عنوان یک روش اصلی بهرهبرداری بود. باید دید این روند در ۲۰۲۶ ادامه مییابد یا خیر.
منبع این مقاله:PortSwigger Research
این مقاله توسط تیم افتاچک ترجمه و خلاصهسازی شده است.