2019年度網站攻擊技法公布，臺灣資安專家研究連三年獲肯定，再以兩項名列10大

每年有無數安全研究人員，分享網站安全領域上的各式攻擊技巧發現，近日2019年10大網站駭客技法（Top 10 Web Hacking Techniques）結果出爐，公布相關創新與重要攻擊技巧，是各大型資訊安全會議之外，每年網站安全研究人員關注的重要參考知識庫，當中藉由社群力量提名，再產生每年最值得關注的創新研究，方便日後安全研究人員閱覽，並可以從中獲得啟發。

這項活動，今年持續由網站安全公司PortSwigger舉辦，特別的是，臺灣資安研究人員再以兩項研究入選。

年度網站攻擊技法研究揭露，臺灣資安研究人員發表內容獲年度第四與第八

在這次評選過程中，共有51項研究獲提名，在1月13日透過網站安全社群投票，產生前15名入圍名單，接著，再於27日由4人組成的專家小組，經確認、投票與評定，選出前10名。

在2月中旬，PortSwigger在網站公布結果。第一名是由Sajjad Arshad等專家所發表，內容是：Cached and Confused: Web Cache Deception in the Wild。簡單來說，這是基於Omer Gil在2017年的研究而起，新提出了5種利用Web Cache Deception的方式，當中並有相當嚴謹度與研究統計，包括了Alexa Top 5000的網站。

值得我們關注的是，臺灣資安研究人員連續三年入榜，繼前兩年的提名都獲得年度第1名之後，今年再以兩項研究提名，獲選年度第4與第8。

挖掘Jenkins漏洞從Meta Programming下手，打破不執行就沒有漏洞的迷思

其中年度排名第4的研究內容，是由身為臺灣資安公司戴夫寇爾（DEVCORE）資安研究員的Orange Tsai（蔡政達）所發表，內容是：「Abusing Meta Programming for Unauthenticated RCE」，揭露開源Jenkins持續整合工具的RCE漏洞。

關於這項漏洞，身為PortSwigger首席研究員，也是這項活動幕後推手的James Kettle發表評論，他說，這項研究使用了Meta Programming來建立後門，是可以持續研究的一個案例。

為何這項研究能夠擠身榜內前5名？蔡政達指出，他認為有兩大原因：一是Jenkins非常流行，現在使用Jenkins的開發人員很多，同時也有很多人在協助Jenkins的程式碼安全審核，因此近年較少看到嚴重的漏洞；另一是因為漏洞情境較為深入，使得以往關於Meta Programming的漏洞並不多。

他進一步解釋，過去Jenkins的漏洞攻防，聚焦於序列化及反序列化，隨著2017年Jenkins重新改寫序列化機制，此後就沒有RCE漏洞出現，而他這次的發現是近來的首例。

而且，這個漏洞不僅使用新的攻擊面──Meta Programming，同時這還打破了普遍認為「沒有執行就不會有漏洞產生」的迷思。

具體而言，Jenkins團隊為了檢查使用者傳入的Pipeline是否有錯誤語法，因此使用了Groovy進行編譯，一旦語法有錯誤發生，編譯就會失敗，當開發者認為僅僅只是「編譯」不去「執行」，就不會有任何危險，這就是問題所在，而Meta-Programming就是在編譯時期是能被利用的技術。

蔡政達強調，資訊安全不是單一學科的技術，而是各種資訊領域跨學科的結合，而他提出的這項研究，其實也展示了如何將電腦科學與程式語言的知識，應用到漏洞挖掘上。

發現SSL VPN漏洞，對企業安全具有極大影響層面

另一項年度排名第8的研究成果，是由蔡政達與他同公司的Meh Chang（張亭儀）所共同揭露，這項在2019年8月於美國Black Hat與DEFCON大會發表的內容：「Infiltrating Corporate Intranet Like NSA: Pre-Auth RCE On Leading SSL VPNs」，當中介紹了大型企業所在用的SSL VPN，可以如何被駭客攻擊，由於影響層面廣又深，因此獲得極大關注，當時並獲得黑帽大會Pwnie Awards的年度最佳伺服器漏洞獎，獲得有如電影界奧斯卡金像獎的殊榮。

為何這項研究能再次獲肯定，入選2019年度的十大駭客技法？根據James Kettle的說法，儘管當中大部分使用的是較經典的技術，但是研究人員使用了一些創造性的技巧。而且，這項研究還促進了安全審核SSL VPN的浪潮，像是近期有其他資安人員揭露一系列的SonicWall VPN漏洞。

關於這項研究的創新之處，蔡政達表示，過去SSL VPN業者為了產品本身的安全，已經加上許多保護及加固，因此，即使產品出現一些漏洞，但攻擊者就也無法進一步利用，而這次他們在研究其弱點時，為了繞過既有的保護及加固，就使用到一些特殊的技巧。他解釋，例如，在Pulse Secure SSL VPN的研究中，他利用了命令解析器的解析錯誤，再配合模板引擎的特性，將錯誤訊息（STDERR）變成後門。

這樣的發現給出不少研究人員一條新的思路。在他發表此漏洞之後，有不只一位國外研究者與他交流，表示他們過去也有發現這個瑕疵，只是一直沒有想出利用的方法。

而在Fortigate SSL VPN的研究中，張亭儀是利用jemalloc及應用程式架構特性，進而偽造SSL結構，透過精妙的操作記憶體達到遠端執行漏洞（RCE），也被認為是相當精采的過程。

新研究雖未能持續奪冠，但為企業安全找出更大隱憂

另一個我們關切的話題是，蔡政達在前兩年的這項活動都獲得年度第一，已經備受全球專家肯定，這次很可惜沒能三連霸。對此，他並不感到意外，他表示，今年的研究主要著重在影響層面，因此在講求創新攻擊手法的這項活動上，已經可以預料不會獲選第一。

確實，若是單論影響力的話，從上述的SSL VPN研究結果來看，已是年度最有影響力的研究之一，不僅發現企業所信任並用來提供保護的資安設備的弱點，並獲得黑帽大會Pwnie Awards的年度最佳伺服器漏洞獎，而在他們通報產品業者修補並對外揭露後，至今仍有許多駭客組織試圖利用這樣的漏洞，而這樣的狀況，也就能看出其影響性。前面提及的Jenkins的漏洞也是如此，揭露至今，也被很多殭屍網路利用來安裝挖礦程式。

再從另一角度來看，每年獲提名的創新研究項目，約在50多個內，入選已是不易，還要能獲得社群投票與專家小組評選，才能入選前10名。事實上，與前兩年入選10大的研究者相比，我們發現，也只有Orange能夠持續名列榜上。此外，雖然不像前兩年的提名，臺灣資安研究人員能在創新性上獲得最高認可，但今年研究成果的影響性更顯著。

最後，對於臺灣資安研究人員而言，如果要像蔡政達一樣獲得全球研究人員肯定，有什麼祕訣呢？他認為，自己必須要有興趣與熱情，能夠24小時投入，就是最重要就是一點。

此外，對於國內後起之秀的培育，他本身也有參與，例如，在2017年「教育部資訊安全人才培育計畫」中，蔡政達擔任「臺灣好厲駭」的導師，帶領國內有潛力的學生，現在一些學生也已取得不錯的成績，參與國內外的漏洞獎勵計畫，並挖掘CVE漏洞。

2019年度十大網站攻擊技術手法

資料來源：PortSwigger，iThome整理，2020年3月

在2019年度10大駭客技法活動的第4名，是關於Jenkins未經身份驗證RCE漏洞，由Orange在去年2月於自己的部落格與戴夫寇爾官方網站上揭露，當中描述了利用Meta Programming來產生新攻擊面的過程。這項研究是在2018年5月開始與Jenkins安全團隊聯繫，經通報、CVE取得與修補發布。(中文版)

2019年10大駭客技法的第8名，是關於SSL VPN產品漏洞，以及入侵與利用手法，是臺灣資安公司戴夫寇爾資安研究員Orange Tsai與Meh Chang，在去年8月舉行的黑帽大會與DEFCON大會上所共同揭露。這項研究在2019年4、5月間已通報Pulse Secure、Fortinet等產品業者，對方已經完成修補，同時他們還參與漏洞懸賞計畫，利用此一漏洞成功駭入Twitter公司，獲得獎勵，以呼籲各企業應儘速修補。(圖片來源：DEFCON)