Il 2024 ha segnato un anno straordinario per la ricerca sulla sicurezza informatica, con un livello di innovazione senza precedenti. Dall’hijacking di OAuth ai nuovi exploit nei web server Apache, queste scoperte non solo ridefiniscono le minacce esistenti, ma introducono anche nuove classi di attacchi che i professionisti della sicurezza dovranno affrontare nei prossimi anni.
Hijacking OAuth tramite Cookie TossingElliot Ward ha dimostrato come il Cookie Tossing, una tecnica spesso sottovalutata, possa essere sfruttato per compromettere i flussi di autenticazione OAuth. L’attacco prende spunto dal lavoro di Thomas Houhou e mostra che, nonostante misure come HttpOnly e SameSite, i cookie rimangono un punto debole. L’idea che localStorage possa essere un’alternativa più sicura per i token di sessione si fa sempre più concreta.
ChatGPT Account Takeover con Wildcard Web Cache DeceptionHarel ha introdotto una variante della tecnica di Web Cache Deception, permettendo il takeover di account ChatGPT. Manipolando il meccanismo di caching tramite un encoding inconsistente e traversal di percorsi, l’attacco consente di aggirare le regole di cache e ottenere accesso a risorse sensibili. La vulnerabilità è così rilevante che è stata implementata in un laboratorio di sicurezza per testare la sua efficacia.
OAuth Non-Happy Path to Account TakeoverOxrz ha dimostrato come una semplice manipolazione dell’header Referer: possa portare al completo takeover di un account tramite OAuth. Questo attacco, ispirato al lavoro di Frans Rosén su Dirty Dancing, mostra quanto sia critico il controllo dei redirect e delle intestazioni HTTP, spesso trascurati dagli sviluppatori.
CVE-2024-4367 – Esecuzione Arbitraria di JavaScript in PDF.jsLe vulnerabilità nei PDF viewer sono sempre state una miniera d’oro per gli attaccanti, ma Thomas Rinsma ha trovato una falla in PDF.js, libreria ampiamente utilizzata per la visualizzazione di PDF nei browser. L’impatto è enorme, considerando che molte applicazioni web integrano questa tecnologia senza pensarci due volte.
DoubleClickjacking: La Nuova Frontiera dell’UI RedressingPaulos Yibelo ha perfezionato una variante del Clickjacking che aggira quasi tutte le protezioni esistenti. Grazie a miglioramenti nella velocità di rendering dei browser e all’elusione delle restrizioni sui frame, l’attacco è praticamente invisibile all’utente. Questo rappresenta una minaccia seria per le interfacce web che si affidano esclusivamente a protezioni lato client.
Analisi e Bypass della Libreria DOMPurifyLa sanitizzazione dell’HTML è una delle battaglie più importanti contro gli attacchi XSS, e DOMPurify è considerata una delle soluzioni più robuste. Tuttavia, Mizu ha dimostrato come, sfruttando tecniche di mutation XSS (mXSS), sia possibile aggirare i suoi filtri. Questa ricerca è una lettura essenziale per chi si occupa di sicurezza del front-end.
WorstFit: Sfruttare le Ambiguità nella Conversione di Charset in Windows ANSIOrange Tsai e splitline hanno dimostrato come le conversioni di charset possano essere un vettore di attacco devastante. Il lavoro ha portato alla scoperta di numerose CVE, scatenando un’ondata di discussioni tra i vendor. La possibilità di manipolare caratteri e encoding per alterare il comportamento di un’applicazione è una minaccia spesso sottovalutata.
Unveiling TE.0 HTTP Request SmugglingPaolo Arnolfo, Guillermo Gregorio e @medusa_1 hanno scoperto una vulnerabilità critica in migliaia di siti su Google Cloud, basata su una nuova variante di HTTP Request Smuggling. La scoperta ha dimostrato che, contrariamente alle previsioni, la tecnica TE.0 è effettivamente sfruttabile in ambienti reali. Questo attacco potrebbe aprire la strada a numerosi exploit su larga scala.
SQL Injection Smuggling: Query a Livello di ProtocolloPaul Gerste ha dimostrato che la SQL Injection è tutt’altro che morta, introducendo un’innovativa tecnica di query smuggling. Combinando concetti di corruzione della memoria binaria con attacchi SQL, ha sviluppato una metodologia che utilizza integer overflow e heap spraying per manipolare il comportamento dei database.
Confusion Attacks su Apache HTTP ServerOrange Tsai, per la terza volta, si è guadagnato il primo posto con una ricerca straordinaria su Apache HTTP Server, il web server più diffuso al mondo. L’attacco sfrutta ambiguità semantiche nascoste, trasformando Apache in un vero e proprio CTF per hacker. La profondità e l’impatto di questa ricerca ne faranno un punto di riferimento per gli anni a venire.
Il 2024 è stato un anno record per la ricerca sulla sicurezza web, con scoperte che ridefiniscono il panorama delle minacce digitali. Se il trend continua, il 2025 sarà ancora più devastante per chi non è preparato.