Top 10 Web Hacking Techniques of 2025
Welcome to the 19th edition of the Top 10 Web Hacking Techniques, an annual, community-driven project that highlights the most innovative and must-read web security research published over the past year.
This list is the result of a three-stage collaboration with the security community:
The community nominated the best web security research of 2025
Community voting produced a shortlist of the top 15
An expert panel reviewed and ranked the shortlist to select the final top 10
We’re planning to wrap this up with an in-person awards ceremony at a DEF CON village, including physical prizes. More details coming soon.
Community Involvement
This year, the community submitted 63 research nominations.
That’s noticeably fewer than last year’s 121 submissions—probably because many of us were distracted by AI—but it’s still consistent with the numbers from 2022 and 2023.
I was pleased that the community-voted top 15 included my talk,
“HTTP/1.1 Must Die: The End of Protocol Inconsistency,”
though, as usual, it didn’t make the final top 10.
The expert panel—Nicolas Grégoire, Suresh Dilli, s-t0k, Fabian (LiveOverflow), and myself—reviewed the finalists and are excited to present the Top 10 Web Hacking Techniques of 2025.
🏆 Top 10 Web Hacking Techniques of 2025
#10 – Parser Differentials: When Interpretation Becomes a Vulnerability
This research explores how differences in parsers across languages and frameworks can lead to serious vulnerabilities. While there’s no accompanying paper, the talk offers excellent inspiration for anyone starting security research.
#9 – Playing with HTTP/2 CONNECT
HTTP/2 continues to reward researchers willing to dive into RFCs and build custom tooling. This work shows how old vulnerabilities reappear in new protocols, including port-scanning capabilities via HTTP/2 CONNECT.
#8 – XS-Leaks: Leaking Cross-Domain Redirects
Despite the name, this has nothing to do with XSS. Instead, it uses Chrome’s connection-pool prioritization as an oracle to leak redirect hostnames across origins—an elegant and creative side-channel attack.
#7 – Next.js, Cache, and Chains: A Bitter Potion
While web cache poisoning is well known, internal cache poisoning is often overlooked. This research exposes a critical vulnerability at the core of Next.js and demonstrates how deep source-code analysis can lead to powerful attack chains.
#6 – Cross-Origin Tag Length Leakage
Originally discovered during a CTF, this technique chains multiple edge cases to leak response sizes across origins. It’s more flexible—and harder to fix—than many earlier XS-Leak techniques.
#5 – SOAPwn: Taking Over .NET Applications via HTTP Client Proxies and WSDL
Starting from a single unfixed flaw in HttpWebClientProtocol, this research escalates the issue into remote code execution (RCE) across multiple .NET-based products. The 93-page paper is detailed but surprisingly approachable.
#4 – Lost in Translation: Exploiting Unicode Normalization
Unicode normalization attacks have lingered on the edges of security testing for years. This research delivers a comprehensive, real-world-focused exploration, combining practical exploits with tooling improvements.
#3 – A New SSRF Technique Using HTTP Redirect Loops
A simple yet powerful approach to revealing blind SSRF vulnerabilities. The write-up offers rare insight into the messy, non-linear reality behind major research discoveries. As one judge put it: “This is magic.”
#2 – ORM Leaks More Than You Bargained For
As SQL injection becomes less common, ORM leaks are emerging as a powerful alternative. This research turns ORM data leakage into a general exploitation technique, enabling creative database exfiltration through search and filtering features.
🥇 #1 – Errors Everywhere: New Code Injection and Server-Side Template Injection Techniques
This winning entry introduces error-based techniques for exploiting blind SSTI, along with innovative polyglot detection methods. By adapting classic SQL injection ideas into modern tooling, this work may mark a new era in server-side template injection.
Conclusion
In 2025, side-channel attacks clearly emerged as a core exploitation primitive. It will be interesting to see whether this trend continues into 2026—or whether modern development habits bring back old-school vulnerabilities.
Many excellent research projects didn’t make the top 10. The full nominations list includes highlights such as:
New request smuggling techniques
Methods for stopping browser redirects to extend exploit chains
Advanced SAML exploitation techniques enabling full authentication bypass
If you noticed outstanding web security research from 2025 that wasn’t nominated, feel free to reach out so it can be added.
بهترین 10 تکنیک هک وب سال 2025 خوش آمدید
این نوزدهمین دوره (https://portswigger.net/research/top-10-web-hacking-techniques) از تلاش سالانه مبتنی بر جامعه ما برای شناسایی تحقیقات امنیتی وب نوآورانه و ضروریخوانی است که در سال گذشته منتشر شده است.
این پست نتیجه همکاری سه مرحلهای با جامعه امنیتی است. در طول یک ماه گذشته:
امیدواریم که با یک مراسم جوایز حضوری با جوایز فیزیکی در یک روستای DEF CON به پایان برسیم - برای جزئیات بیشتر در این مورد منتظر خبر باشید.
امسال، جامعه 63 تحقیق را به عنوان رقبا نامزد کرد. این تعداد به طور قابل توجهی کمتر از 121 ارسال دیوانهوار دفعه قبل است، احتمالاً به این دلیل که ما جمعاً توسط هوش مصنوعی منحرف شدیم. با این حال، این تعداد با اعداد تاریخی نامزدها از سالهای 2022 و 2023 هماهنگ است.
من افتخار کردم که 15 نفر نهایی از رأی جامعه شامل سخنرانی خودم با عنوان “HTTP/1.1 باید بمیرد: پایان بازی ناسازگاری” بود، اما مانند همیشه آن را از ده نفر نهایی حذف کردم.
هیئت تخصصی متشکل از نیکلاس گرگوآر، سورش دلیلی، استُک، فابیان (لایواورفلو) و خودم، نامزدهای نهایی را بررسی کردهایم و خوشحالیم که 10 تکنیک برتر هک وب سال 2025 را در اختیار شما قرار دهیم!
—
رتبه 10 - تفاوتهای تجزیهکننده: زمانی که تفسیر تبدیل به آسیبپذیری میشود
در دهمین جایگاه، “تفاوتهای تجزیهکننده: زمانی که تفسیر تبدیل به آسیبپذیری میشود” توسط @joernchen قرار دارد که شامل مطالعات موردی است که طیف گستردهای از زبانها، چارچوبها و فناوریها را تحت تأثیر قرار میدهد. متأسفانه مقاله همراهی وجود ندارد اما این ارائه نقطه شروع عالیای برای کسی است که به دنبال ایدههایی برای شروع تحقیقات خود است.
—
رتبه 9 - بازی با HTTP/2 CONNECT
HTTP/2 مدتی است که وجود دارد اما هنوز به محققانی که از شیرجه در مستندات فنی (RFC) و توسعه ابزار سفارشی نمیترسند، پاداش میدهد. هرگاه پروتکل جدیدی ظاهر شود، شما نقصهای قدیمی را در کدهای تازه دوباره ظاهر میشوند، و “بازی با HTTP/2 CONNECT” این موضوع را به طور خلاصه نشان میدهد، با ابزارهای اسکن پورت داخلی. با گسترش پشتیبانی از HTTP/2 CONNECT، این تحقیق از @flomb کاندیدای عالی دیگری برای ادامه کار است.
—
رتبه 8 - نشتی اکساساس: نشت تغییر مسیرهای میاندامنهای
از نام آن فریب نخورید - “نشتی اکساساس: نشت تغییر مسیرهای میاندامنهای” توسط سالواتوره آبلو هیچ ارتباطی با XSS ندارد. این حمله زیبا از الگوریتم اولویتبندی استخر اتصالات کروم به عنوان اوراکل استفاده میکند تا نام میزبانهای تغییر مسیر را به صورت میاندامنهای نشت دهد. حتی اگر کروم الگوریتم خود را اصلاح کند، این پست به عنوان الهامبخش نشتهای اکساساس آینده ارزشمند باقی خواهد ماند.
—
رتبه 7 - Next.js، کش و زنجیرهها: نوشیدنی تلخ
در حالی که مسمومیت کش وب به تنهایی به خوبی درک شده است، مسمومیت کش داخلی یک نوع نادیده گرفته شده و به طور خاص ترسناک باقی مانده است. لحظهای که “Next.js، کش و زنجیرهها: نوشیدنی تلخ” را در ژانویه سال گذشته دیدم، میدانستم که سرنوشت آن رسیدن به ده نفر برتر است. در این نوشته درباره یک آسیبپذیری بحرانی در قلب Next.js، رشید علام نشان میدهد که چگونه از تحلیل کد منبع برای ترکیب حملات استادانه استفاده کرد و به طور طبیعی ما را به فکر فرو میبرد که چه سورپرایزهایی در چارچوبهای محبوب دیگر کمین کردهاند.
—
رتبه 6 - نشت طول تگهای میاندامنهای
دومین نشت اکساساس که در ده نفر برتر امسال قرار گرفت، “نشت طول تگهای میاندامنهای” بود که ابتدا به عنوان یک راهحل غیرمنتظره برای یک مسابقه (CTF) کشف شد. تاکشی کانکو زنجیرهای زیبا از چندین حاشیهای را برای نشت اندازه پاسخ به صورت میاندامنهای ایجاد میکند. این تکنیک به دلیل کمی انعطافپذیرتر بودن - و سختتر بودن برای رفع - بر تکنیک نشت مبدأ برتری دارد.
—
رتبه 5 - SOAPwn: تسخیر برنامههای چارچوب داتنت از طریق پروکسیهای کلاینت HTTP و WSDL
SOAPwn با یک نقص واحد در HttpWebClientProtocol شروع میشود که مایکروسافت از رفع آن خودداری کرد. پیوتر بازیدلو سپس این نقص را به تدریج به یک نقطه اکسپلویت قدرتمند تبدیل میکند که امکان اجرای کد از راه دور (RCE) را در مجموعهای از محصولات فراهم میکند. از مقاله 93 صفحهای نترسید - خواندن آن به طور شگفتانگیزی آسان است.
—
رتبه 4 - گم شده در ترجمه: بهرهبرداری از نرمالسازی یونیکد
RahaRM🎈, [02/09/2026 19:04:23]
حملات نرمالسازی یونیکد سالهاست که در لبه روشهای تست پنهان شدهاند، به طور دورهای چراغهای را روشن میکنند و سپس در پسزمینه محو میشوند. در “گم شده در ترجمه”، رایان و ایزابل بارنت این موضوع تحقیقاتی گسترده را بررسی میکنند، نمونههای متنوع اکسپلویت را با بهروزرسانیهای ابزارهای شخص ثالث از جمله ActiveScan++ ترکیب میکنند. دیدگاه منحصر به فرد رایان در یک شرکت بزرگ تولیدکننده دیوار آتشی، دیدن حملاتی که واقعاً در دنیای واقعی استفاده میشوند، این سخنرانی را به گفتاری بسیار عملی تبدیل میکند که یونیکد سزاوار آن است.
—
رتبه 3 - تکنیک جدید SSRF شامل حلقههای تغییر مسیر HTTP
“اما چرا کار کرد؟” این تکنیک برای نمایان کردن SSRF کور از @shubs زیبا، ساده و قدرتمند است. نوشته مفصل داستان کشف، نگاهی نادر به حقیقت آشفته پشت یافتههای تحقیقاتی بزرگ ارائه میدهد. در اینجا برخی نتایج قدرتمند وجود دارد اما نمیخواهم آنها را خراب کنم - با دقت بخوانید و تأمل کنید. به قول عضو هیئت سورش، “این جادو است”.
—
رتبه 2 - ORM بیشتر از آنچه برایش پیوستید نشت میکند
به نشتهای اکساساس علاقهمندید؟ نشتهای ORM خواهر و برادر سنگینتر سمت سرور آنها هستند. “ORM بیشتر از آنچه برایش پیوستید نشت میکند” نشتهای ORM را از یک آسیبپذیری تخصصی و مختص چارچوب به یک روش عمومی برای بهرهبرداری از قابلیتهای جستجو و فیلتر تبدیل میکند. با کمرنگ شدن تزریق SQL در پسزمینه، راههای خلاقانه برای تخلیه پایگاه داده همیشه خوشآمد هستند. این تحقیق از الکس براون شایسته رتبه #2 است.
—
رتبه 1 - خطاها موفقیتآمیز: تکنیکهای جدید تزریق کد و تزریق قالب سمت سرور
“خطاها موفقیتآمیز: تکنیکهای جدید تزریق کد و تزریق قالب سمت سرور” تکنیکهای مبتنی بر خطا برای بهرهبرداری از تزریق قالب سمت سرور کور را معرفی میکند. این تحلیل فوقالعاده همچنین شامل تکنیکهای تشخیص مبتنی بر پلیگلات نوآورانه برای نمایش جامع این کلاس حمله است. با تطبیق تکنیکهای قدیمی مرتبط با تزریق SQL، و ادغام این تکنیکها در یک جعبه ابزار متنباز قدرتمند، ولادیسلاو کورچاگین ممکن است عصر جدیدی از تزریق قالب سمت سرور را رقم زده باشد. تبریک به این پیروزی سختکوشانه!
—
نتیجهگیری
سال 2025 شاهد ظهور کانالهای جانبی به عنوان یک اصلی اصلی اکسپلویت بود. جالب خواهد بود دید که آیا این روند برای سال 2026 ادامه مییابد - یا رایج شدن کدنویسی بر اساس حس و حال ما را به روزهای بد قدیم بازمیگرداند.
همانطور که همیشه، با 63 نامزد، بسیاری از نوشتههای عالی به فهرست پانزده نفر نهایی نرسیدند، چه برسد به ده نفر برتر! در اینجا نمونه کوچکی از لذتهایی که در فهرست کامل نامزدها منتظر شما هستند آورده شده است:
- تکنیکهای ناسازگاری جدید شامل قطعات نامعتبر
- چندین تکنیک برای متوقف کردن تغییر مسیرهای مرورگر، امکان ایجاد زنجیرههای اکسپلویت بیشتر
- تکنیکهای بهرهبرداری جدید SAML برای فراهم کردن دور زدن کامل احراز هویت
همچنین، اگر تحقیقات استثنایی از سال 2025 را مشاهده کردید که هرگز نامزد نشد، به من ایمیل بزنید تا آن را به فهرست اضافه کنم.
بخشی از آنچه باعث میشود یک مدخل در ده نفر برتر قرار گیرد، طول عمر مورد انتظار آن است، بنابراین ارزش دارد که با بایگانی ده نفر برتر نیز آشنا شوید. اگر به دنبال پیشنمایش آنچه ممکن است از سال 2026 برنده شود هستید، میتوانید در خبرنامه ما مشترک شوید، به r/websecurityresearch بپیوندید، به دیسکورد ما بپیوندید، یا ما را در شبکههای اجتماعی دنبال کنید. اگر به دنبال انجام این نوع تحقیقات خود هستید، من چند درسی که در طول سالها یاد گرفتهام را در “شکار آسیبپذیریهای فرار”، “چگونه یک موضوع تحقیقات امنیتی انتخاب کنیم” و “پس میخواهی محقق امنیت وب شوی؟” به اشتراک گذاشتهام.
تشکر بزرگ از هیئت برای تخصیص زمان و تخصص خود برای تهیه نتیجه نهایی، و همچنین از همه کسانی که مشارکت کردند! بدون نامزدها، رأیها و مهمتر از همه تحقیقات شما، این ممکن نبود.
تا دفعه بعد!
https://portswigger.net/research/top-10-web-hacking-techniques-of-2025
