文章总结： Portswigger发布2025年十大Web黑客技术榜单，侧信道攻击与XS-Leaks技术表现突出。前三名分别为基于错误的新型代码注入与SSTI技术、ORM信息泄露方法论、HTTP重定向循环SSRF技术。其他亮点包括Unicode规范化攻击、SOAPwn.NETRCE、Next.js内部缓存投毒等。榜单反映了从传统SQL注入向更隐蔽的服务器端数据泄露和协议级攻击转变的趋势。 综合评分： 85 文章分类： WEB安全,漏洞分析,渗透测试,安全大事件,威胁情报

【Portswigger】2025年十大Web黑客技术：侧信道攻击崛起，创新方法重塑安全边界

骨哥说事 骨哥说事

骨哥说事

2026年2月8日 11:19 上海

#

欢迎来到 2025年十大Web黑客技术 榜单的揭晓时刻！这是我们由社区驱动的年度评选活动第19届，旨在识别去年发布的最具创新性和必读性的Web安全研究成果。

这篇博文是与安全社区三步协作的高潮。在过去一个月里：

• 社区提名了2025年的顶尖研究成果。
• 社区对这些提名进行了投票，选出了前15名的入围名单。
• 一个专家评审团对入围名单进行投票，最终选出了排名前十的作品并确定了顺序。

我们希望最终能在DEF CON的一个主题村举办现场颁奖典礼并颁发实物奖品——关于这一点，请关注后续详情。

今年，社区提名了63项研究作为候选者。这比去年令人难以置信的121项提交要少得多，可能是因为我们大家都被AI分散了注意力。尽管如此，这个数字与2022年和2023年的历史提名数量基本一致。

我很荣幸地看到，社区投票选出的15名决赛入围者中包含了我的演讲 “HTTP/1.1必须消亡：反序列化最终章”，但按照惯例，我将其排除在最终的十大榜单之外。

由 Nicolas Grégoire、Soroush Dalili、STÖK、Fabian (LiveOverflow) 和 我本人 组成的专家评审团审阅了决赛入围作品，我们非常激动地为您呈现 2025年十大Web黑客技术！

第10名 – 解析器差异：当解读成为漏洞

位列第十的是 解析器差异：当解读成为漏洞，作者是 @joernchen。这项研究以案例研究的形式呈现，影响范围涵盖了多种语言、框架和技术。虽然遗憾的是没有附带的白皮书，但这份演示文稿对于希望寻找思路、开启自己研究的人来说，是一个极佳的起点。

第9名 – HTTP/2 CONNECT 协议玩法

HTTP/2 已经存在一段时间了，但依然奖励那些不畏惧深入RFC阅读和开发定制工具的研究者。每当一个新协议出现，你会发现旧的漏洞会在新的代码中重新浮现。Playing with HTTP/2 CONNECT 一文结合内部端口扫描工具，简洁地说明了这一点。随着 HTTP/2 CONNECT 支持越来越普及，来自 @flomb 的这项研究将成为另一个绝佳的、可供进一步构建的研究基础。

第8名 – XSS-Leak：泄露跨域重定向目标

不要被名字迷惑——Salvatore Abello 的 XSS-Leak: Leaking Cross-Origin Redirects 与 跨站脚本攻击 毫无关系。这项精妙的攻击利用了 Chrome 浏览器的连接池优先级排序算法作为预言机，实现了跨域泄露重定向的主机名。即使 Chrome 修复了其算法，这篇文章的价值依然存在，可以作为未来跨站泄露技术（XS-Leaks）的灵感来源。

第7名 – Next.js、缓存与链：陈旧的魔药

虽然独立的 Web缓存投毒 攻击已经广为人知，但内部缓存投毒仍然是一个被忽视且极其危险的变种。早去年一月看到 [Next.js, cache, and chains: the stale elixir](https://zhero-web-sec.github.io/research-and-thing s/nextjs-cache-and-chains-the-stale-elixir) 时，我就知道它注定要进入前十。在这篇剖析next.js核心严重漏洞的文章中，Rachid Allam 展示了如何通过源码分析来拼凑出高超的攻击链，并自然而然地引发我们思考：其他流行框架中是否还隐藏着类似的惊喜。

第6名 – 跨站点ETag长度泄露

这是今年前十榜单中的第二项跨站泄露研究—— Cross-Site ETag Length Leak，最初是作为一道 CTF 题的无意解决方案被发现的。Takeshi Kaneko 精妙地串联了多个边界情况，实现了跨域泄露响应体大小。由于该项技术适用性更广且更难修补，它排在了泄露重定向源技术之前。

第5名 – SOAPwn：通过HTTP客户端代理和WSDL攻破.NET Framework应用程序

SOAPwn 始于 Microsoft 拒绝修复的 HttpWebClientProtocol 中的一个漏洞。随后，Piotr Bazydło 逐步将其发展成为一个强大的利用点，能够在一系列产品上实现远程代码执行。别被这93页的白皮书吓到——它读起来出人意料地流畅。

第4名 – 迷失在翻译中：利用Unicode规范化

多年来，Unicode规范化攻击一直徘徊在测试方法的边缘，时而占据聚光灯下，时而淡出视野。在 Lost in Translation 演讲中，Ryan 和 Isabella Barnett 共同应对了这个庞大的研究课题，他们将多样化的利用样本与第三方工具的更新（包括 ActiveScan++）结合了起来。Ryan身处一家大型WAF供应商的独特视角，能观察到哪些攻击在真实世界中被实际使用，这使得这个演讲成为Unicode攻击领域中非常实用的内容。

第3名 – 涉及HTTP重定向循环的新型SSRF技术

“但它为什么能奏效？” Novel SSRF Technique Involving HTTP Redirect Loops 这篇来自 @shubs 的文章介绍的这项技术优雅、简单且强大。详细的发现故事描绘提供了一个难得的窗口，让我们得以窥见伟大研究发现背后那混乱的真实过程。这里有一些有力的启示，但我不想剧透——请仔细阅读并思考。正如评审Soroush所说，“这简直是魔法”。

第2名 – ORM（对象关系映射）泄露的比你联结的更多

喜欢跨站泄露？那么ORM泄露就是它们“厚重”的、服务器端的表亲。这篇来自 Alex Brown 的 ORM Leaking More Than You Joined For 研究，将ORM泄露从一个特定于框架的小众漏洞，演变为一种用于利用搜索和筛选功能的通用方法论。随着 SQL注入 逐渐淡出视野，富有创意地“转储”数据库的方法总是受欢迎的。

第1名 – 成功的错误：新型代码注入与SSTI技术

Successful Errors: New Code Injection and SSTI Techniques 引入了新型的基于错误的利用技术，用于攻击盲目的  **。这项出色的分析还包含了新颖的基于“多语言混合”的检测技术，以全面暴露这类攻击。通过改编与SQL注入相关的传统技术，并将其整合到强大的开源工具包中，Vladislav Korchagin 可能正在引领服务器端模板注入（SSTI）进入一个新时代。祝贺你赢得来之不易的胜利！

结语

2025年见证了侧信道攻击作为一种核心利用原语的崛起。2026年这一趋势是否会继续，抑或是主流化开发（如“氛围编码”）将我们带回更原始的时代，这将是一个有趣的看点。

一如既往，在63项提名中，许多优秀的成果未能进入最终的十五强，更不用说前十了！这里只是 完整提名列表 中一些精彩内容的冰山一角：

• 涉及畸形数据块的新型反序列化技术
• 多种延迟浏览器重定向的技术，为更长的利用链创造条件
• 可实现完全身份验证绕过的新型SAML（安全断言标记语言）利用技术

另外，如果你在2025年发现了非常出色但未被提名的研究，欢迎给我发邮件，我会将其添加到列表中。

能否进入前十名的部分衡量标准在于其预期的持久影响力，所以回顾一下 历年十大技术存档 也非常值得。如果你有兴趣预览2026年可能会获奖的研究，可以 订阅我们的RSS、加入 r/websecurityresearch、参与 我们的Discord 或在社交媒体上关注我们。如果你有兴趣自己从事这类研究，我在过去的几年里分享了一些经验教训： 狩猎规避性漏洞、如何选择安全研究主题、以及 所以你想成为一名Web安全研究员？

衷心感谢评审团投入时间和专业知识来策展最终结果，也感谢每一位参与者的贡献！没有你们的提名、投票，以及最重要的——研究成果，这一切都不可能实现。

明年再见！

原文：https://portswigger.net/research/top-10-web-hacking-techniques-of-2025

• END –

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事 骨哥说事 骨哥说事《【Portswigger】2025年十大Web黑客技术：侧信道攻击崛起，创新方法重塑安全边界》