[PRE]CSRF攻击-进击的巨人

计划准备出一个PPT专门讲解CSRF里的各种奇技淫巧,除了那些老套的手法之外:

https://github.com/evilcos/papers
我公布的Papers里有个PPT是《CSRF攻击-苏醒的巨人》,可以参考。

还包括以前提的Flash CSRF/XSF等方式,细节可以温习去年我的Paper(隐蔽的战场—Flash Web攻击),希望Flash是日不落帝国,虽然现在快日落了,但是不影响我们的最后挣扎。

除了这些,当然会有新的玩意,比如JSON Hijacking就一直在进化。还有去年很火的WormHole,这是JSON Hijacking本地攻击的一种延伸,点击下这个试试:

http://evilcos.me/lab/pac.html

探测你本地是否用Shadowsocks,当然你即使用了也不一定会弹,毕竟我测试的端口仅仅是默认的8788(如果你不是这个端口,你可以改为这个端口试试)。

以前我说过:玩CSRF,最爽的是结合了Flash,无声无息…

最近在做路由器安全研究,以及昨晚做了个新型蠕虫的测试:

1

给我带来的结论是:Flash,你可以安息了,感谢HTML5,以后玩CSRF同样可以很优雅。

我为什么Demo这只蠕虫?因为这确实是个影响会很深远的安全问题。

在我过去两年做的《程序员与黑客》第一季与第二季的演讲,里面有个核心点就是:程序员与黑客思维的差异,导致一些类型的安全问题可以成为经久不衰的存在,甚至会随着程序员的进化而不断演变。比如HTML5/ES6这些前端玩意的风靡,必然会带来许多“超能力”的滥用,毕竟能成为黑客的程序员少之又少,对抗博弈一直微妙地存在。

按照这种思维以及我最近的一些实战,CSP的存在(以及HTTP那些安全的X-扩展协议头)不会是前端黑的噩梦。我们最大的敌人是我们自己,伟大领袖也说过这句话:-)

3 comments

  1. 听说您精通前端安全,我想问个这方面的问题。
    IE 的安全问题颇多,我基本不用它,但是会不会不操作它时,它自己联网,有可能被骇客利用呢?这个风险有多大呢?
    我想到的一个方式,不知是否可行:它自动更新时,骇客把恶意代码伪装成更新用的代码,混进 IE 里,所以我没有开启自动更新。
    同样还有 edge 浏览器,虽然说好像比 IE 安全一点。
    我想把它们都卸载了,就像割掉阑尾一样。
    谢谢!

    1. 现在这些浏览器安全性已经好了非常多,尤其你在Win10下。自动更新的劫持曾经有人干过,但是现在校验很严格,想静默劫持难,你可以认为这种高成本基本不可能发生在你的电脑上。你不去用IE,但是确实好些客户端程序会默认用IE内核去做客户端程序的前端渲染,但前面说了,现在IE的安全性确实好了非常多。但也怕猪队友,比如某程序封装的IE内核是旧的。

发表评论

电子邮件地址不会被公开。 必填项已用*标注