2024十大網站攻擊技術公布，臺灣資安專家三度稱霸第一

今年2月，PortSwigger網站發布了年度「十大網站攻擊技法」（Top 10 Web Hacking Techniques 2024），再次受到我們關注，原因是臺灣專家的研究成果，同時榮獲了第1名與第4名。

事實上，臺灣資安專家的研究已連續兩年未能進入該榜單，今年再度躋身前十，實屬難能可貴，令人振奮。

想要入選年度十大網站攻擊技法榜單，門檻其實很高，因為這是由PortSwigger網站發布，先根據社群研究人員票選列出15項研究入圍名單，再由專家小組投票排序出前10名，希望突顯每年具創新且重要的新研究。

原因在於，每年有無數的資安研究人員公布其最新研究與發現，然而，這些資訊龐雜且零散，儘管部分研究已在大型資安會議發表，仍有許多重要成果可能被忽視。

特別的是，今年共有103件研究報告獲得提名，比起往年數量呈現接近倍增的情形，不僅是數量大增，負責舉辦此計畫的PortSwigger首席研究員James Kettle指出，這是他自2018年負責此專案以來，見過最高品質的一批研究成果。

換言之，隨著最新10大網站攻擊技法出爐，也意味已經幫助大家選出年度最好的部分。

臺灣資安研究人員發表2項內容從103項提名脫穎而出，入選第1名與第4名

這次，臺灣資安研究人員能夠再次從中脫穎而出，獲選為第1名與第4名，更是難得。而且兩項都與臺灣資安公司戴夫寇爾（DEVCORE）首席資安研究員Orange Tsai（蔡政達）有關。

事實上，蔡政達在2017年、2018年發表的研究成果，已經獲得此榜第1名的殊榮，此後三年也持續入榜，其中2019年、2021年的發表，也有在黑帽大會上獲得資安屆奧斯卡獎Pwnie Awards的獎項。因此，他的研究方向，一直是全球研究人員關注的焦點。

這次獲選第1名的研究，是蔡政達在2024年8月於美國黑帽大會首度公開發表的內容，名稱為：「Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server」。

他當時還因為赴美簽證的問題，無法前往，讓黑帽大會破例同意以預錄影片方式公開發表，後續他亦在同一個月，於國內的HITCON社群場再以中文闡釋這項研究的成果與經驗。

簡單來說，這次研究的重點在於，是他探索出Apache HTTP Server中長年存在的架構問題，揭開了全新的攻擊面，不只研究出3種混淆攻擊手法，並且發現與通報了9個漏洞。

另一獲選第4名的研究內容，是蔡政達與他同公司另一位資安研究員splitline（黃志仁）共同研究的成果，他們於兩個月前（2024年12月）歐洲黑帽大會首度公開發表，其名稱是：「WorstFit: Unveiling Hidden Transformers in Windows ANSI」。

這項研究的重點，在於揭開了Windows ANSI中隱藏的轉換問題，特別的是，公布年度榜單的PortSwigger專家James Kettle還提到，字元轉換向來被視為高風險區域，但實際應用中的攻擊案例卻相對罕見。因此，這項研究不僅成功證明了此類攻擊的高難度，甚至還引發供應商間的相互指責情形。

整體而言，從2024年度十大網站攻擊技法的公布來看，不僅突顯了全球資安研究人員的重要貢獻，也顯現出臺灣在全球漏洞研究的實力。

未來，我們也希望有更多來自臺灣的資安專家，在資安漏洞研究領域深耕鑽研，持續突破，同樣躍上國際舞臺與受到肯定。

繼續閱讀：全球資安社群選出2024最認可的資安漏洞研究，臺灣資安專家揭開Apache HTTP Server模組架構隱藏問題

繼續閱讀：臺灣資安專家揭開WorstFit，成功探索Windows ANSI字元轉換雷區，找出全新攻擊面與3種攻擊手法

　
2024年度十大網站攻擊技術手法一覽

1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server  -  Orange Tsai
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level - Paul Gerste
3. Unveiling TE.0 HTTP Request Smuggling - Paolo Arnolfo、Guillermo Gregorio、 @_medusa_1_
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI - Orange Tsai、Splitline
5. Exploring the DOMPurify library: Bypasses and Fixes - Mizu
6. DoubleClickjacking: A New Era of UI Redressing - Paulos Yibelo
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js - Thomas Rinsma
8. OAuth Non-Happy Path to ATO - Oxrz
9. ChatGPT Account Takeover - Wildcard Web Cache Deception- Harel
10. Hijacking OAuth flows via Cookie Tossing - Elliot Ward

資料來源：PortSwigger，iThome整理，2025年2月