心动吧黑客BLOG

从TR博客中，然后用软件翻译的..拼凑就可以明白了

我们搜寻了深远和广泛收集许多网络黑客技术在2008年出版尽可能- 〜 70的所有。 These new and innovative techniques were analyzed and ranked based upon their novelty, impact, and pervasiveness.这些新的和创新的技术进行了分析和排名根据其新颖性，影响和渗透。 The 2008 competition was exceptionally fierce and our panel of judges ( Rich Mogull , Chris Hoff , HD Moore , and Jeff Forristal ) had their work cut out for them. 2008年竞争格外激烈，我们的法官小组（ 富Mogull ， 克里斯霍夫 ， 高清摩尔 ， 和 Jeff Forristal ）的工作等着他们。 For any researcher, or "breaker" if you prefer, simply the act of creating something unique enough to appear on the list is no small feat.对于任何研究人员，或“断路器”如果你愿意，只要该行为创造一些独特的，足以显示在列表中是一项不小的壮举。 That much should be considered an achievement.这一点应被视为一项成就。 In the end, ten Web hacking techniques rose head and shoulders above.最后， 10网络黑客技术上升头部和肩部以上。



Supreme honors go to Billy Rios, Nathan McFeters, Rob Carter, and John Heasman f or GIFAR! The judges were convinced their work stood out amongst the field. 最高荣誉去比利里奥斯，弥敦道McFeters ，罗布卡特和约翰希斯曼 F或GIFAR ！法官们相信他们的工作突出的领域之一。 Beyond industry recognition, they also will receive the free pass to Black Hat USA 2009 (generously sponsored by Black Hat)!除了业界承认，他们也将获得免费传递给2009年的美国黑帽 （慷慨赞助的黑帽） ！ Now they have to fight over it.现在他们已经打击权。 ;) ; ）



Congratulations to all!祝贺大家！



Coming up at SnowFROC AppSec 2009 and RSA Conference 2009 it will be my great privilege to highlight the results.今后在SnowFROC AppSec 2009年和2009年RSA会议将是我莫大的荣幸突出的成果。 Each of the top ten techniques will be described in technical detail for how they work, what they can do, who they affect, and how best to defend against them.每一个世界排名前十的技术将在技术细节描述他们是如何工作的，他们能做什么，谁的影响，以及如何最好地抵御它们。 The opportunity provides a chance to get a closer look at the new attacks that could be used against us in the future -- some of which already have.机会提供了一个机会仔细研究新的攻击，可以用来对付我们的未来-其中一些已。





Top Ten Web Hacking Techniques of 2008! 十大网络黑客技术的2008年！



1. GIFAR 1 。 GIFAR

(Billy Rios, Nathan McFeters, Rob Carter, and John Heasman) （贝利里奥斯，弥敦道McFeters ，罗布卡特，约翰希斯曼）



2. Breaking Google Gears' Cross-Origin Communication Model 2 。 打破谷歌齿轮跨起源通信模型

(Yair Amit) （亚伊尔阿米特）



3. Safari Carpet Bomb 3 。 Safari浏览器地毯炸弹

(Nitesh Dhanjani) （ Nitesh Dhanjani ）



4. Clickjacking / Videojacking 4 。 Clickjacking / Videojacking

(Jeremiah Grossman and Robert Hansen) （耶利米格罗斯曼和罗伯特汉森）



5. A Different Opera 5 。 一种不同歌剧院

(Stefano Di Paola) （斯特凡诺狄炮剌）



6. Abusing HTML 5 Structured Client-side Storage 6 。 滥用职权的HTML 5结构客户端存储

(Alberto Trivero) （阿尔贝托Trivero ）



7. Cross-domain leaks of site logins via Authenticated CSS 7 。 跨域泄漏通过验证的登录网站的CSS

(Chris Evans and Michal Zalewski) （克里斯埃文斯和米哈乌扎莱夫斯基）



8. Tunneling TCP over HTTP over SQL Injection 8 。 隧道TCP HTTP上的SQL注入

(Glenn Willinson, Marco Slaviero and Haroon Meer) （格伦Willinson ，马可波罗Slaviero和哈龙米尔）



9. ActiveX Repurposing 9 。 的ActiveX Repurposing

(Haroon Meer) （哈伦阿斯拉米尔）



10. Flash Parameter Injection 10 。 闪存参数注射液

(Yuval Baror, Ayal Yogev, and Adi Sharabani) （尤瓦Baror ， Ayal Yogev ，和Adi Sharabani ）





The List 清单

1. CUPS Detection 圣杯检测
2. CSRFing the uTorrent plugin CSRFing的uTorrent插件
3. Clickjacking / Videojacking Clickjacking / Videojacking
4. Bypassing URL Authentication and Authorization with HTTP Verb Tampering 绕过网址认证和授权的HTTP动词篡改
5. I used to know what you watched, on YouTube (CSRF + Crossdomain.xml) 我知道您看，在YouTube （ CSRF + Crossdomain.xml ）
6. Safari Carpet Bomb Safari浏览器地毯炸弹
7. Flash clipboard Hijack 闪光劫持剪贴板
8. Flash Internet Explorer security model bug 闪光的Internet Explorer安全模式错误
9. Frame Injection Fun 注射趣味相框
10. Free MacWorld Platinum Pass? 免费的MacWorld白金通行证？ Yes in 2008! 是在2008年！
11. Diminutive Worm, 161 byte Web Worm 小蠕虫， 161字节的网络蠕虫
12. SNMP XSS Attack ( 1 ) SNMP的跨站脚本攻击 （ 1 ）
    
    
13. Res Timing File Enumeration Without JavaScript in IE7.0 水库定时文件列举了JavaScript在IE7.0
14. Stealing Basic Auth with Persistent XSS 基本授权窃取持续跨站脚本
15. Smuggling SMTP through open HTTP proxies 走私的SMTP通过公开HTTP代理
16. Collecting Lots of Free 'Micro-Deposits' 收集大量的免费'微存款'
17. Using your browser URL history to estimate gender 请使用浏览器的URL历史估计性别
18. Cross-site File Upload Attacks 跨站点攻击文件上载
19. Same Origin Bypassing Using Image Dimensions 同一来源绕过基于图像尺寸
20. HTTP Proxies Bypass Firewalls HTTP代理绕道防火墙
21. Join a Religion Via CSRF 加入一个宗教威盛CSRF
22. Cross-domain leaks of site logins via Authenticated CSS 跨网域泄漏通过验证的登录网站的CSS
23. JavaScript Global Namespace Pollution JavaScript的全局命名空间污染
24. GIFAR GIFAR
25. HTML/CSS Injections - Primitive Malicious Code 的HTML /的CSS注射-原始恶意代码
26. Hacking Intranets Through Web Interfaces 黑客通过网络界面内联网
27. Cookie Path Traversal cookie路径遍历
28. Racing to downgrade users to cookie-less authentication 赛车降低用户cookie的不到认证
29. MySQL and SQL Column Truncation Vulnerabilities MySQL和数据库柱截断漏洞
30. Building Subversive File Sharing With Client Side Applications 建设颠覆文件共享的客户端应用
31. Firefox XML injection into parse of remote XML Firefox的XML的注入远程XML的解析
32. Firefox cross-domain information theft (simple text strings, some CSV) Firefox的跨网域资料盗用（简单的文本字符串，一些的CSV ）
33. Firefox 2 and WebKit nightly cross-domain image theft Firefox 2中和WebKit每晚跨域形象盗窃
34. Browser's Ghost Busters 浏览器的幽灵的主力
35. Exploiting XSS vulnerabilities on cookies 利用跨站脚本漏洞的Cookie
36. Breaking Google Gears' Cross-Origin Communication Model 打破谷歌齿轮跨起源通信模型
37. Flash Parameter Injection 闪存参数注射液
38. Cross Environment Hopping 跨环境跳频
39. Exploiting Logged Out XSS Vulnerabilities 利用跨站脚本漏洞登出
40. Exploiting CSRF Protected XSS 利用CSRF保护跨站脚本
41. ActiveX Repurposing , ( 1 , 2) 的ActiveX Repurposing ， （ 1 ， 2 ）
42. Tunneling tcp over http over sql-injection 隧道TCP over HTTP的超过的SQL注射
43. Arbitrary TCP over uploaded pages 在任意的TCP上载到网页
44. Local DoS on CUPS to a remote exploit via specially-crafted webpage ( 1 ) 本地DoS攻击的圣杯远程利用经特殊制作的网页 （ 1 ）
45. JavaScript Code Flow Manipulation JavaScript代码流操纵
46. Common localhost dns misconfiguration can lead to "same site" scripting 共同本地的DNS错误可能会导致“同一个网站”脚本
47. Pulling system32 out over blind SQL Injection 拉system32随着盲目SQL注入
48. Dialog Spoofing - Firefox Basic Authentication 对话框欺骗- Firefox的基本身份验证
49. Skype cross-zone scripting vulnerability Skype的跨区域脚本漏洞
50. Safari pwns Internet Explorer Safari浏览器的Internet Explorer pwns
51. IE "Print Table of Links" Cross-Zone Scripting Vulnerability 即“打印表的链接”跨区域脚本漏洞
52. A different Opera 另一种不同的歌剧
53. Abusing HTML 5 Structured Client-side Storage 滥用的HTML 5结构客户端存储
54. SSID Script Injection SSID的脚本注入
55. DHCP Script Injection 的DHCP脚本注入
56. File Download Injection 文件下载注射液
57. Navigation Hijacking (Frame/Tab Injection Attacks) 导航劫持（帧/表注入攻击）
58. UPnP Hacking via Flash UPnP的黑客通过闪光
59. Total surveillance made easy with VoIP phone 共计监测轻松与VoIP电话
60. Social Networks Evil Twin Attacks 社会网络攻击邪恶双子星
61. Recursive File Include DoS 递归文件包含攻击
62. Multi-pass filters bypass 多通滤波器旁路
63. Session Extending 会议拓展
64. Code Execution via XSS ( 1 ) 通过跨站脚本执行代码 （ 1 ）
65. Redirector’s hell 转向器的地狱
66. Persistent SQL Injection 持久性SQL注入
67. JSON Hijacking with UTF-7 简称JSON劫持以UTF - 7
68. SQL Smuggling 数据库走私
69. Abusing PHP Sockets ( 1 , 2 ) 滥用的PHP套接字 （ 1 ， 2 ）
70. CSRF on Novell GroupWise WebAccess CSRF对Novell GroupWise的WebAccess

Posted by Jeremiah Grossman发布者耶利米格罗斯曼

原创文章如转载，请注明：转载自心动吧黑客BLOG [ http://www.abcxd.com/abcxd/ ]

本文链接地址：http://www.abcxd.com/abcxd/abcxdArticle/qtoday/Hacking.html