Portswigger 2025年十大Web黑客技术盘点：新型SSTI、SSRF与侧信道攻击解析

Portswigger 近期公布了由安全社区评选的 2025年十大Web黑客技术 榜单，这已是该年度评选活动的第19届。榜单旨在遴选过去一年中最具创新性与影响力的Web安全研究成果，其产生过程融合了社区智慧与专家评审：

• 首先，社区成员进行提名。
• 随后，社区对提名进行投票，选出前15名入围作品。
• 最后，由专家评审团对入围作品进行评议，确定最终的十大技术及排名。

今年社区共提名了63项研究，专家评审团最终评选出了以下十项技术，它们代表了当前Web安全攻防领域的最新思路与前沿方向。

第10名 - 解析器差异：当解读成为漏洞

位列第十的是由 @joernchen 提交的 解析器差异：当解读成为漏洞。这项研究以案例形式呈现，展示了不同语言、框架和技术在解析同一输入时产生的差异如何被利用。虽然未附带详细白皮书，但其演示文稿为安全研究人员提供了丰富的思路启发，是开启相关研究的绝佳起点。

第9名 - HTTP/2 CONNECT 协议玩法

HTTP/2 CONNECT 协议玩法 来自 @flomb。研究指出，尽管 HTTP/2 协议已存在多年，但深入阅读RFC并开发定制工具的研究者总能发现新的攻击面。每当新协议普及，旧漏洞常在新代码中重现。该文结合内部端口扫描工具，清晰地阐述了这一点。随着 HTTP/2 CONNECT 支持日益广泛，这项研究为后续探索奠定了坚实基础。

第8名 - XSS-Leak：泄露跨域重定向目标

不要被名字误导——Salvatore Abello 的 XSS-Leak: Leaking Cross-Origin Redirects 与跨站脚本攻击（XSS）无关。这是一项精巧的侧信道攻击，它利用Chrome浏览器的连接池优先级排序算法作为“预言机”，实现了跨域泄露重定向的目标主机名。即便Chrome后续修复了该算法，其研究思路仍对未来探索跨站泄露（XS-Leaks）技术具有重要参考价值。

第7名 - Next.js、缓存与链：陈旧的魔药

虽然独立的Web缓存投毒攻击已广为人知，但内部缓存投毒这一变种仍常被忽视且危害巨大。早在今年初，Rachid Allam 发表的 [Next.js, cache, and chains: the stale elixir](https://zhero-web-sec.github.io/research-and-thing s/nextjs-cache-and-chains-the-stale-elixir) 就展现了其巨大潜力。该研究通过深入剖析Next.js框架核心中的一个严重漏洞，演示了如何通过源码分析串联出复杂的攻击链，并促使我们思考：其他流行框架中是否隐藏着类似的“惊喜”？

第6名 - 跨站点ETag长度泄露

这是今年榜单中第二项关于跨站泄露（XS-Leaks）的研究——Cross-Site ETag Length Leak。该技术最初是作为一道CTF题的无意解决方案被发现的。研究者 Takeshi Kaneko 巧妙地将多个边界情况串联起来，实现了跨域泄露HTTP响应体的大小。由于其适用性更广且修复难度更高，此项技术的排名超过了前述的“泄露重定向源”技术。

第5名 - SOAPwn：通过HTTP客户端代理和WSDL攻破.NET Framework应用程序

SOAPwn 的研究始于 Microsoft 拒绝修复的 HttpWebClientProtocol 中的一个漏洞。随后，Piotr Bazydło 将其逐步发展成一个强大的利用链，能够在多个产品上实现远程代码执行。别被其93页的白皮书吓退——这份报告内容详实，读起来却出乎意料地流畅，深入剖析了 SOAPwn 这类传统协议在现代应用中的安全隐患。

第4名 - 迷失在翻译中：利用Unicode规范化

Unicode规范化攻击多年来时而备受关注，时而沉寂。在 Lost in Translation 演讲中，Ryan 和 Isabella Barnett 系统性地处理了这一庞大课题，将多样化的利用样本与第三方工具（包括ActiveScan++）的更新相结合。Ryan 身处一家大型WAF供应商的独特视角，能观察到哪些攻击在真实世界中真正奏效，这使得该演讲成为Unicode攻击领域极具实用价值的参考资料。

第3名 - 涉及HTTP重定向循环的新型SSRF技术

“但它为什么能奏效？” 这是阅读 @shubs 的 Novel SSRF Technique Involving HTTP Redirect Loops 时很多人会发出的疑问。这项技术优雅、简单且强大。文中详尽的发现过程为我们提供了一个难得的窗口，得以窥见伟大研究发现背后那看似混乱的真实路径。其中蕴含的启示颇具力量，值得读者仔细研读与思考。正如一位评审所说：“这简直是魔法。”

第2名 - ORM泄露的比你联结的更多

喜欢跨站泄露（XS-Leaks）？那么 ORM泄露 就是其“厚重”的服务器端表亲。Alex Brown 的 ORM Leaking More Than You Joined For 研究，将ORM泄露从一个特定框架的小众漏洞，提升为一种利用搜索和筛选功能的通用方法论。随着传统的 SQL注入 漏洞逐渐减少，这种富有创意地“提取”数据库信息的新方法显得尤为可贵。

第1名 - 成功的错误：新型代码注入与SSTI技术

Successful Errors: New Code Injection and SSTI Techniques 引入了新型的基于错误响应的利用技术，用于攻击盲注场景。这项出色的分析还包含了新颖的“多语言混合”检测方法，以全面暴露此类攻击。通过借鉴并改造与SQL注入相关的传统技巧，并将其整合到强大的开源工具包中，研究者 Vladislav Korchagin 可能正在引领服务器端模板注入（SSTI） 进入一个新时代。

结语与趋势展望

纵览2025年的十大技术，侧信道攻击（特别是XS-Leaks及其变种）作为一种核心利用原语正在崛起。无论是客户端还是服务器端，信息泄露技术都展现出了强大的生命力和创新性。

此外，对流行框架和协议（如Next.js、HTTP/2、.NET）的深度代码审计，依然能挖掘出危害严重的漏洞链。这些研究提醒我们，在复杂系统中，多个看似微小的安全边界问题组合起来，可能产生巨大的破坏力。

安全研究是一个持续演进的领域，每年的榜单都反映了攻防两端最新的思考与交锋。对于开发者和安全人员而言，关注这些前沿技术并非为了攻击，而是为了更深刻地理解防御的盲点，从而构建更健壮的应用。

如果你想与更多安全爱好者深入探讨这些Web黑客技术或分享自己的见解，欢迎到云栈社区的安全技术板块交流互动。