全球資安社群選出2024最認可的資安漏洞研究，臺灣資安專家揭開Apache HTTP Server模組架構隱藏問題

每年，PortSwigger網站都會精選全球最具影響力的資安研究，發布「十大網站攻擊技法」（Top 10 Web Hacking Techniques）。今年1月，2024年度榜單正式揭曉，讓人振奮的是——第一名榮耀再度由臺灣資安專家奪下。

來自臺灣資安公司戴夫寇爾（DEVCORE）的首席資安研究員Orange Tsai（蔡政達），他在2024年8月於美國黑帽大會上，發表了一項針對Apache HTTP Server的研究，獲選為上述榜單之首，突顯其研究在創新與影響的重要性。

簡單來說，在這項研究中，蔡政達探索了Apache HTTP Server引以為豪的模組化架構，揭開了這方面架構債與問題，不只從中找出3種不同的混淆攻擊手法，包括：Filename Confusion、DocumentRoot Confusion，以及Handler Confusion，挖掘出9個漏洞，同時更是揭開了全新的攻擊面。

揭開Apache HTTP Server新攻擊面，強調自身研究更重視深度與完整度的展現

究竟這項攻擊手法發現有何特殊之處，能夠獲得全球研究人員的肯定，成為2024年度最有價值的資安漏洞研究，我們找到蔡政達，請他親自提供這方面的見解。

他認為有兩大原因，一是Apache HTTP Server使用的基數大，因為這方面的問題一旦出現，受影響範圍與受關注度都會高；另一是從研究角度來看，這次研究能夠提供一個新穎的視角，去審視網頁伺服器，並能啟發其他研究人員，將同樣的模式套用到其他目標上。

事實上，在漏洞研究領域中，每一年都會有新的發現，因此後續還要能夠提出新的視角，都可說是相當難能可貴。因此，在上述兩項原因之外，他認為這次研究成果能夠受到肯定獲選為第1名，還有一個重要的關鍵，就是自己的研究不只要能展現深度，兼顧完整性也很重要。

他舉例，包括從一開始如何想到這個視角，一直到如何去驗證、發想攻擊面，以及找出真實的問題。

從蔡政達的回答中，我們可以看出，他在漏洞研究領域的持續進化，不只是從當今複雜的網路架構找出具影響性的問題，其研究報告完整程度，也等於是希望打造出一份漏洞研究的楷模。

由於我們知道，過去蔡政達在漏洞研究上，已有多次針對從「不一致」的錯誤著手，這次的研究思路有何不同？

他表示，這次也有「不一致」概念的部分，但並非全部，這次的研究思路更像是站在更高的視角，去說明為什麼會有不一致，例如，這次問題的根因，在於這個開源網頁伺服器軟體所自豪的模組化架構。

他進一步解釋，Apache HTTP Server發展已近30年之久，每個模組可能由不同的開發者實作，程式碼歷經多年的疊代、重整以及修改，但大家可能沒有去深究的是，模組間其實並不完全了解彼此的實作細節，但卻又被要求要一起合作。

換言之，在缺乏一個好的開發標準或使用準則下，這中間必然會存在很多小縫隙可以被利用。

如果用日常情境來比喻的話：就像要求兩個不熟悉彼此做事風格的人合作確實可以完成事情，但中間必然會有一些細縫或瑕疵。

具體而言，以這次揭露的Filename Confusion攻擊手法而言，就是針對不同模組對同個欄位的理解有不一致的情形，像是一個是路徑、一個是網址，這樣的衝突，就會造成安全上的風險；而以Handler Confusion攻擊手法而言，則是尋找有模組修改到它認為不重要的欄位，但對另一個模組來說卻很重要的欄位。

蔡政達也指出，這些都是從更上層的視角，才看得到的攻擊面。換言之，有了這樣的視角，才能讓自己的研究發現可以變得更有價值，讓更多研究人員、開發人員，能注意到更多相似的問題。

另一方面，隨著2024十大網站攻擊技法出爐，除了上述獲選第一的Apache HTTP Server研究，我們也請蔡政達談談，還有哪些其他研究人員的題目是他也會感興趣的主題？對此，他提到SonerSource資安研究人員發表的2篇研究，雖然這兩項提名沒有入選年度10大，但都是他相當喜歡的研究，原因是這些內容也是在講不一致以及編碼問題。這兩篇研究分別是：「Joomla: PHP Bug Introduces Multiple XSS Vulnerabilities」，以及「Encoding Differentials: Why Charset Matters」。

另外，還有像是第6名的「DoubleClickjacking」，以及「Insecurity through Censorship」，也是少數他覺得有趣，而且看完會發出莞爾一笑的研究。

2024年8月，Orange Tsai（蔡政達）在美國黑帽大會首度發表名為「Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server」的研究，揭開Apache HTTP Server模組問題與風險。特別的是，蔡政達當時因赴美簽證問題無法前往，所幸黑帽大會答應以預錄影片方式公開發表。（Black Hat's YouTube頻道於2025年1月上傳當時演說內容）