每年,PortSwigger網站都會精選全球最具影響力的資安研究,發布「十大網站攻擊技法」(Top 10 Web Hacking Techniques)。今年2月4日,2024年度榜單正式揭曉,讓人振奮的是——第一名榮耀再度由臺灣資安專家奪下。
來自臺灣資安公司戴夫寇爾(DEVCORE)的首席資安研究員Orange Tsai(蔡政達),他在2024年8月於美國黑帽大會上,發表了一項針對Apache HTTP Server的研究,獲選為上述榜單之首,突顯其研究在創新與影響的重要性。
簡單來說,在這項研究中,蔡政達探索了Apache HTTP Server引以為豪的模組化架構,揭開了這方面架構債與問題,不只從中找出3種不同的混淆攻擊手法,包括:Filename Confusion、DocumentRoot Confusion,以及Handler Confusion,挖掘出9個漏洞,同時更是揭開了全新的攻擊面。
年度十大網站駭客攻擊技法在今年2月出爐,揭露過去一年具創新與影響的重要漏洞研究發現,「Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server」獲選第一名。
揭開Apache伺服器新攻擊面,同時展現研究深度與完整度
究竟這項Confusion Attacks的攻擊手法發現有何特殊之處,能夠獲得全球研究人員的重視與肯定,成為2024年度最受全球資安社群認可的資安漏洞研究,我們找到蔡政達,請他親自提供這方面的見解。
他認為,獲得肯定有兩大原因,一是Apache HTTP Server使用的基數大,因此這方面的問題一旦出現,受影響的範圍與受關注的程度都會高;另一是從研究角度來看,這次的探討能夠提供一個新穎的視角,去審視網頁伺服器安全性,並能啟發其他研究人員,將同樣的探討模式套用到其他目標上。
事實上,在資安漏洞研究領域中,每年都會有新的發現,因此後續還要能夠提出新的視角,相當難能可貴。較特別的是,在上述兩項原因之外,他認為這次研究成果獲選第1名,還有一個關鍵,那就是:自己的研究不只要能展現深度,如何兼顧完整性,也很重要。
他舉例說明這件事的意義,包括從一開始需要有辦法想到這個視角,一直到後續要思考如何驗證、發想各種攻擊面,以及找出真實的問題。
從蔡政達提出的這番回答,我們可以觀察到他在漏洞研究領域的持續進化,不只從當今複雜的網路架構找出具影響性的問題,其研究報告相當完整,也可看出他的目標是希望打造漏洞研究的楷模。
由於我們長期關注蔡政達的發表,知道他在漏洞研究的脈絡發展歷程,過去曾多次從「不一致」的錯誤著手,然而,這次研究思路與過往有何不同?
他表示,這次也有「不一致」概念的部分,但並非全部,這次的研究思路,更像是站在更高的視角,去說明為什麼會有不一致,例如,這次問題的根因,在於這個開源網頁伺服器軟體所自豪的模組化架構。
他進一步解釋,Apache HTTP Server發展已近30年之久,每個模組可能由不同的開發者實作,程式碼歷經多年的疊代、重整及修改,但大家可能沒有深究的部分是:每個模組之間,其實並不完全了解彼此的實作細節,卻又被要求要一起合作。
換言之,在缺乏一個更完善的開發標準或是使用準則下,這當中必然存在很多小縫隙可以被利用。
如果用日常情境比喻:就像要求兩個不熟悉彼此做事風格的人合作,他們確實可以完成事情,但中間必然會有一些細縫或瑕疵。
具體而言,以這次揭露的Filename Confusion攻擊手法而言,就是關於不同模組對於同一個欄位的理解有不一致的情形,像是一個是路徑、一個是網址,這樣的衝突,就會造成安全上的風險;而以Handler Confusion混淆攻擊手法而言,則是設法尋找是否有模組修改到本身認為不重要的欄位、但對另一模組卻很重要的欄位,此時,就可能會影響到另一模組的判斷。
蔡政達也指出,這些都是從更上層的視角,才能夠看得到的攻擊面。換言之,有了這樣的視角,才能讓自己的研究發現變得更有價值,也促使更多研究人員、開發人員,能注意到更多相似的問題。
Orange推薦今年提名還有其他兩項值得一看的弱點研究
另一方面,隨著2024十大網站攻擊技法出爐,除了上述獲選第一的研究,我們也請蔡政達談談,有哪些其他研究人員的題目是他感興趣的主題?
他注意到SonarSource資安研究人員發表的兩個主題,雖然它們沒入選年度10大,但都是他相當喜歡的研究,原因是這些也是在講不一致,以及編碼問題。這兩篇研究分別是:「Joomla: PHP Bug Introduces Multiple XSS Vulnerabilities」,以及「Encoding Differentials: Why Charset Matters」。
還有其他研究成果,像是第6名的「DoubleClickjacking」,以及「Insecurity through Censorship」,也是少數他覺得有趣,而且看完會發出莞爾一笑的研究。
2024年8月,Orange Tsai(蔡政達)在美國黑帽大會首度發表名為「Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server」的研究,揭開Apache HTTP Server模組問題與風險。特別的是,蔡政達當時因赴美簽證問題無法前往,所幸黑帽大會答應以預錄影片方式公開發表。(Black Hat's YouTube頻道於2025年1月上傳當時演說內容)
