zoukankan      html  css  js  c++  java
  • XSS之浪潮已经来临

    前些天和Roy厉在微博上聊到微信公众账号,我说我在辛苦运营“网站安全中心”这个账号呢,他说我这账号粉丝少是少了点,不过用户定位精确,我说我不希望精确,因为我在尽可能写科普,科普需要传播。

    Roy厉说过两天他会在他的“戏里戏外”这个微信公众账号里帮我推推,这不,昨天推了下,就涨了很多粉。

    这里特别感谢他下,也推荐大家收听这位有情怀的黑客的“戏里戏外”。

    今天的话题也是顺着他的推荐而起的,他说到我玩XSS数一数二,奠定了之后的一些玩法。对他的说法,不敢当。

    其实我是后起之秀,07年底才开始从PC安全专过来研究前端安全,不知道为什么我感觉前端安全会是一次浪潮。

    XSS的很多玩法,我都写进我们的书里《Web前端黑客技术揭秘》,不过我曾经说过,我是带着痛苦写完书的,我的文笔本来还可以,可是痛苦+死板的出版语言,让我越来越没劲,就开始在很多地方几句话带过,或者贴段代码了事,最后在书开印的前几天,要求加上web2hack.org到书的开头,以准备之后弥补书中的一些不足。

    认真看我们这本书的同学肯定会有大收获,半吊子的人将一点收获都没,我可以肯定的是书中的很多知识是非常有帮助的,不仅仅是Web前端,更重要的是思想。

    我还牢骚几次,说由于一些敏感原因,很多东西并没往书里写,这些敏感的往往是一些黑产、灰产等的惯用手法,包括一些事件,没曝光天日。

    08年的时候圈内在我看来一流的前端安全玩家有:

    黑哥 - 幻影核心,目前在知道创宇,我们团队

    剑心 - 80sec创始人,wooyun老大

    茄子 - 80sec核心

    luoluo - 幻影核心,80sec核心

    刺 - 幻影核心,道哥黑板报

    Monyer - xeye核心

    这些人基本都是85后,除了我们这些暴露在外的人,还有一些是没暴露的人,就不说了。这些人奠定了前端的很多玩法,基本都是跨界、跨国玩耍的。

    至于国外的当时一些牛人等以后说,web2hack.org上列出了些。08年开始我保持每天跟进国内外各种和前端安全有关的paper,也玩出了一些花样出来,然后就想总该留下点什么,这不,这本书就留下了……

    在写书的过程中,也结交了当前我认为前端安全非常不错的玩家新力量(今年是2013年):

    sogl - 曾经在我们团队,pkav核心

    小雄 - 在我们团队,加速乐团队

    pkav团队 - gainover,only_guest等,在wooyun上玩出了很多花样

    redrain - 特立独行

    这些人都是90后。

    1. 有人用XSS做APT攻击;

    2. 有人在成为JavaScript/Flash/浏览器之神,各种创新玩法;

    3. 有人用XSS黑下名人微博;

    4. 有人用XSS黑下各种公司(包括安全公司)的相关Web管理系统;

    5. 有人在互联网各大处,种下盲打XSS的十字架,就等目标中招;

    6. 有人用XSS大规模传播进行钓鱼;

    7. 有人用XSS一招搞定目标用户身份;

    8. 有人用XSS一招取下目标系统最高权限;

    9. 有人用XSS一招取下目标用户操作系统权限;

    10. 有人用XSS开点小玩笑;

    11. 有人在研发相关工具来将挖掘XSS、利用XSS;

    12. ...

    Web已经是趋势,移动互联网已经是趋势,云已经是趋势,JavaScript/HTML5也成为了趋势,XSS浪潮早来了,现在追赶还来得及。

    在我们团队,我亲自指导了一些人,可惜这些人热情了一会,就没了后续。还指导了相关工具的研发,不过这个成果让我欣慰。如果都半年了,XSS能力还是浮于表面,就不要玩了,让给上面那些新生代力量吧:)

    Web前端安全的主角就是XSS,我曾经说过XSS如飞刀搬,杀人不见血,有的人在系统层面上玩,有的人在网络层面上玩,有的人在Web后端上玩,而在Web前端,XSS才是王道。

    哪怕有多少人连XSS是什么都不知道;哪怕有多少人只知概念,从未实战;哪怕有多少人嘲讽XSS。XSS这只浏览器的鬼魂来了。

  • 相关阅读:
    Linux时间子系统之一:clock source(时钟源)【转】
    浅谈linux的死锁检测 【转】
    Linux内核死锁检测机制【转】
    spin_lock、spin_lock_irq、spin_lock_irqsave区别【转】
    Microsoft Security Essential: 微软安全软件
    Linux内核同步机制之(三):memory barrier【转】
    ftrace的使用【转】
    Linux下安装Python-3.3.2【转】
    Linux驱动修炼之道-RTC子系统框架与源码分析【转】
    Python应用与实践【转】
  • 原文地址:https://www.cnblogs.com/milantgh/p/3628214.html
Copyright © 2011-2022 走看看