在漏洞悬赏这片高手林立的江湖里,想要脱颖而出、斩获先机,就不能再靠无头苍蝇似的瞎碰运气。你必须清楚地知道,猎枪该瞄准哪个靶心。漏洞的“流行趋势”总在变化,哪些会卷土重来,哪些将销声匿迹,取决于多重因素:猎人是否还在寻找它?开发者是否还在重复犯错?大型语言模型(LLM)生成的代码是否会携带这个漏洞?……
一、 Web LLM(大型语言模型)攻击:被遗忘的富矿
几年前,各大公司曾一拥而上,将AI模型集成进自家服务。彼时,无数白帽猎人通过在这些系统中寻找漏洞,赚取了相当丰厚的赏金。时间快进到2026年,许多AI模型已升级进化,它们与检索增强生成(RAG)系统(让LLM能够读取你提供的文档和文件)以及内部API相结合,能力与实用性大增。
这看起来很美好,却也开辟了巨大的攻击面,正等待猎人加以利用。然而,这位研究人员观察发现,通过阅读其他猎人的报告以及追踪Hackerone平台上的Hacktivity动态,许多猎人似乎已经完全忘记了在LLMs中狩猎漏洞。
Hackerone上关于“提示注入”的统计数据
看看Bugcrowd的漏洞评级分类(VRT)中列举的各种AI相关漏洞,你会发现与LLM相关的可利用漏洞简直是无穷无尽!
对于那些实现了AI功能的目标,你将有很大概率发现的主要漏洞集中在以下三类:
- 提示注入:通过精心设计的输入操纵AI模型输出。
- 系统提示泄露:窃取模型的底层系统指令。
- 训练数据泄露:或是通过RAG嵌入的敏感公司数据外泄。
此外,在这种新型基础设施中,速率限制不足和 HTML注入 也相对容易发现。
这无疑是2026年一个被许多人忽视的高潜力方向。该研究人员表示,后续将撰写深度文章,详解这些漏洞及其在真实目标中的挖掘方法。
二、 凭证填充:暗流涌动,威胁升级
凭证填充攻击在近期呈明显上升趋势,同时企业的防范意识也有所增强。越来越多的公司开始意识到泄露凭证的极端危险性——一旦被攻击者获取,其连锁反应可能超乎想象。根据攻击者获得的凭证类型不同,他们可能借此访问管理员后台、绕过付费墙获取付费内容,甚至直接触及核心内部数据。
寻找泄露的凭证(报告中信息已做脱敏处理)
若想为你的悬赏目标寻找泄露凭证,一个强大的数据泄露搜索引擎必不可少。研究人员推荐了几个不错的选项(可参考其文章:最佳替代品),但他个人当前首选是 BreachCollection,因其拥有卓越的界面和性价比。
实用策略:
- 明确目标:首先确定你寻找的是内部凭证(如员工邮箱)还是用户凭证。
- 精准查询:
- 内部凭证:进行“邮箱域名查询”。BreachCollection会检索所有邮箱域名与目标公司匹配的凭证(如 [email protected])。
- 用户凭证:进行“域名查询”。这将检索出所有能登录到目标网站或服务的凭证。
- (注:有时通过“域名查询”也能意外发现员工凭证,该研究人员曾在一份五分钟速成的漏洞报告中有所斩获。)
通过域名查询可能发现员工凭证
- 自动化与监控:此环节在漏洞侦察中如此重要,以至于该白帽小哥专门开发了一个集成工具NextRecon,它能同步调用BreachCollection API和抓取Wayback Machine中的历史URL,自动化收集目标泄露凭证。此外,他还利用BreachCollection仪表板的邮件提醒功能,实时监控心仪目标是否有新凭证泄露,确保第一时间检查与上报。
设置邮件提醒,实时监控新凭证
三、 竞争条件:微服务时代的“黄金漏洞”
竞争条件堪称Web应用漏洞中的“皇冠明珠”,极具技术美感。其核心在于:当系统“检查某个约束条件”的时刻与“执行某项操作”的时刻之间存在一个足够大的时间窗口时,攻击者便能趁虚而入,进行利用。
为何它在2026年更易被挖掘?
- 架构变迁:几年前,主流大公司纷纷从单体式架构(所有服务组件运行于单一服务器)转向微服务架构(不同服务分散于不同服务器)。微服务架构天生比单体架构更容易受到竞争条件攻击,因为实现数据库锁定(防止一个进程修改数据库时被另一进程干扰,从而解决竞争条件)在分布式环境中极为困难。
- 开发者关注点转移:随着AI在开发者中的普及,大家对这类传统并发问题的关注度日益降低,更倾向于快速交付产品。然而,解决竞争条件需要开发者进行缜密的逻辑推理,这恰恰为技术扎实的猎人创造了绝佳的机会窗口。
如果你希望更深入地了解竞争条件的原理与挖掘技巧,可以参阅该研究人员撰写的专业指南,从入门到精通。
四、 总结:顺势而为,洞察先机
随着Web开发趋势的演进,我们作为漏洞猎人的方法论也必须与时俱进。无论是AI集成带来的庞大攻击面,还是泄露凭证的持续性威胁,亦或是微服务架构催生的竞争条件挑战,对于那些愿意在他人忽略之处深挖的猎人来说,机遇无处不在。
祝各位猎运昌隆,2026年赏金满满!
原文:https://medium.com/@Appsec_pt/which-bugs-to-hunt-for-in-2026-9359d33b0f57
