文章总结： PortSwigger发布2025年度十大Web黑客技术榜单，由专家评审团从63项提名中选出。冠军为基于错误的新型SSTI利用技术，亚军是ORM泄露方法论，侧信道攻击(XS-Leaks)占据四席成为主流。其他亮点包括HTTP/2CONNECT攻击、Unicode规范化攻击、Next.js缓存中毒链等。提名数量较去年减半，反映AI浪潮下传统Web安全研究的转型焦虑。 综合评分： 85 文章分类： WEB安全,漏洞分析,渗透测试,红队,安全研究

2025十大Web黑客技术榜单：侧信道攻击崛起，模板注入王者归来

赛博知识驿站

2026年2月9日 13:01 中国香港

当代码成为战场，漏洞就是最锋利的武刀。

PortSwigger近日发布了2025年度”全球十大Web黑客技术”榜单——这场已经连续举办19年的行业盛事，堪称Web安全界的”奥斯卡”。从社区提名到投票海选,再到专家评审定榜，这份榜单凝聚了全球安全社区的集体智慧，既是过去一年最具创新性研究的缩影，更是未来攻防演进的风向标。

激战背后的冷思考

值得玩味的是，今年的提名数量出现了大幅”缩水”——63项提名，相比去年疯狂的121项几乎腰斩。这背后或许藏着一个讽刺的真相：当整个行业都被AI的狂潮裹挟，传统Web安全研究反而陷入了某种”失语”。不过，这个数字倒是回归到了2022-2023年的历史常态，也许喧嚣过后，行业正在重新审视什么才是真正的技术沉淀。

由Nicolas Grégoire、Soroush Dalili、STÖK、Fabian (LiveOverflow)等大神坐镇的专家评审团，从15项候选中精挑细选出这份终极榜单。现在，让我们一探究竟——

No.10 解析差异：当理解本身成为武器

榜单垫底的是@joernchen带来的《解析器差异攻击》。这项研究横跨多种编程语言、框架和技术栈，用一系列实战案例揭示了一个残酷现实：当不同系统对同一份数据产生不同理解时,安全边界便荡然无存。虽然遗憾地没有配套白皮书，但这个演讲本身就是一座富矿，对想入门相关研究的新手而言，堪称”开门红”级别的指引。

No.9 玩转HTTP/2 CONNECT

HTTP/2已经面世多年，但@flomb的研究证明:对那些敢于啃RFC文档、动手造轮子的研究者来说，老协议依然能挖出新金矿。新协议的诞生往往意味着旧漏洞的”转世重生”——这次，内网端口扫描工具的构建就是最好的例证。随着HTTP/2 CONNECT支持的扩散，这项研究注定会成为后来者的”脚手架”。

No.8 XSS-Leak:跨域重定向的窃密游戏

别被名字骗了——Salvatore Abello的《XSS-Leak》跟传统跨站脚本攻击八竿子打不着。这个精妙的攻击把Chrome的连接池优先级算法当成了”先知”，成功实现跨域泄露重定向主机名。即便Chrome未来修补了算法，这篇文章的价值也不会褪色——它会像灯塔一样，照亮后来者探索XS-Leaks的征途。

No.7 Next.js的隐秘污点:缓存中毒链

独立的Web缓存中毒已经被研究透了，但内部缓存中毒?这个被低估的变种才真正令人不寒而栗。去年1月,当Rachid Allam的《Next.js缓存中毒链》横空出世时，榜单编辑就知道它稳进前十。这篇针对Next.js核心漏洞的深度剖析,展示了如何通过源码分析拼凑出大师级攻击——更让人脊背发凉的是:其他热门框架里,还有多少这样的”定时炸弹”在滴答作响?

No.6 跨站ETag长度泄露

今年第二个杀入前十的XS-Leak技术,最初竟然源于一次CTF比赛的”意外解法”。Takeshi Kaneko将多个边缘案例优雅地串联,实现了跨域泄露响应大小。相比前面的跨域重定向泄露,这个技术更加多才多艺——也更难被堵上。

No.5 SOAPwn:通过HTTP客户端代理与WSDL攻陷.NET应用

故事始于HttpWebClientProtocol中一个被微软拒绝修复的小缺陷。然后,Piotr Bazydło像炼金术士一样,逐步将其淬炼成一柄可远程代码执行的利剑,斩落了一众产品。不要被93页的白皮书吓退——它出奇地流畅易读,是真正的”教科书级别”攻击指南。

No.4 迷失翻译:Unicode规范化攻击

Unicode规范化攻击就像个潜伏者,多年来一直在测试方法论的边缘徘徊,时而跃入聚光灯,时而隐入暗处。Ryan和Isabella Barnett夫妇联手的《迷失翻译》,终于给这个庞大的研究领域交出了一份满意答卷——不仅整合了海量利用样本,还升级了包括ActiveScan++在内的第三方工具。Ryan在某大型WAF厂商的独特视角,让他看清了哪些攻击真正在野外”横行霸道”,这也让这个演讲具备了Unicode研究长期欠缺的实战价值。

No.3 HTTP重定向循环:让盲打SSRF现形的妙计

“但它为什么会成功?” 这是@shubs在研究中反复追问的灵魂拷问。这项让盲打SSRF可视化的技术,美得简洁,强得霸道。更难得的是,详尽的发现故事披露,让我们罕见地窥见了伟大研究成果背后那些”一地鸡毛”的真相。这里面藏着强大的启示,但我不想剧透——仔细读完,然后沉思。用评审Soroush的话说:”这就是魔法。”

No.2 ORM泄露的远不止你JOIN的东西

喜欢XS-Leaks?那你一定会爱上它们的”重量级表亲”——ORM泄露。Alex Brown的这项研究,将ORM泄露从小众的、特定框架的漏洞,升华为一套通用的方法论,专门用来剥削搜索和过滤功能。在SQL注入逐渐退场的时代,能创造性地”拖库”的新招式永远受欢迎。实至名归的亚军!

No.1 成功的错误:代码注入与SSTI新技术

冠军属于Vladislav Korchagin!

《成功的错误》引入了基于错误的全新技术,用于利用盲打服务器端模板注入(SSTI)。这项卓越的分析还包括基于多语言Polyglot的新型检测技术,全方位曝光了这个攻击门类。通过改造与SQL注入相关的”老派”手法,并将其整合进一个强大的开源工具包,Vladislav或许真的开启了服务器端模板注入的新纪元。实至名归的冠军!

结语:侧信道的黄金时代,还是回光返照?

2025年见证了侧信道攻击作为核心利用原语的崛起。这股趋势会延续到2026年吗?还是说,随着”氛围感编程”成为主流,我们会倒退回那个漏洞遍地的”美好旧时光”?

当然,63项提名意味着许多精彩的研究没能杀入决赛圈,更别说前十了。比如涉及畸形数据块的新型desync技术、延缓浏览器重定向的多种手法、实现完全认证绕过的SAML攻击新招……完整提名名单里,宝藏俯拾皆是。

【编后记】 这份榜单不只是技术的赛马场,更是行业焦虑与希望的双面镜。当AI浪潮席卷而来,传统Web安全研究者会被淹没,还是会站上浪尖?答案或许就藏在下一个”成功的错误”里。

原文：https://portswigger.net/research/top-10-web-hacking-techniques-of-2025

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛博知识驿站 《2025十大Web黑客技术榜单：侧信道攻击崛起，模板注入王者归来》