今天在知乎看到有人问:

在这几天看了余弦的《Web前端黑客技术揭秘》。但是其中的代码全都看不懂,所以来知乎请教各位应该在学习XSS前我应该有什么基础?

这个问题我遇到好些,这里在知乎一并回答了,给大家表个态:

可惜了,我没下决心认真照顾好入门的同学。第一次写书也造成书的跳跃性有些夸张,还望吃力的同学谅解,因为我肯定这本书有足够的含金量。
Continue reading

花了几小时改版了web2hack.org,想表达的意思更清晰了,这次改版除了上线“消息列表”外,还特别加入了几个好资源,大家可以去围观:http://web2hack.org/。这个是专门为《Web前端黑客技术揭秘》这本书准备的站点,弥补书里的点点缺憾:.)

PS:web2hack.org目前使用的是sae海外节点,所以很慢……刷新几次吧- –

截图备份:

1

http://threatpost.com/csp-1-0-added-to-firefox-to-block-xss-attacks/

X-Content-Security-Policy头会变为:Content-Security-Policy。

我没测试,不过据说Firefox、Chrome、IE10(沙箱模式)都支持了这个头。CSP1.0 还支持内嵌的样式的屏蔽,这些目的都是为了防御XSS。

我们的《Web前端黑客技术揭秘》最后一章有详细说明(http://vdisk.weibo.com/s/GDqYZ开放),并认为CSP最终会成为XSS的终结者。不过这需要那些网站配合浏览器的CSP策略了,不仅能保证代码编写规范,也能保证前端安全性。

:)

昨天sogl微博@了我一个问题:

#Web前端黑客#p342 子域无法通过单向设置document.domain跨到主域,书中写的新浪微博可以通过子业务跨到顶级域名下,事实上不可以。

大家可以看我放在GitHub上的demo:https://github.com/web2hack/proxy

1、设置hosts:
127.0.0.1 evil.com
127.0.0.1 a.evil.com
2、将proxy目录放到本地Web服务根目录下。
3. 访问http://a.evil.com/proxy/attack.htm

原理:
双方页面都设置:document.domain=’evil.com’;在浏览器下,可跨子域。

Continue reading

未来……因为我感觉还不是时候开始写,不过可以先八卦八卦,回答些问题。

Q:为什么没写:BeEF/XSS Shell/Anetha/Shell of the Future等这类XSS利用框架?
A:
1. 他们自己的官方文档很清楚;
2. 我已经写了核心的一些东西了(比如很多攻击向量、XSS Proxy的各种技巧等),只是没进行框架化思想的介绍;
3. 我自己实现了一个,一些朋友见过,我没开源是有很多考虑的(最主要是我自己都没真的用爽),这就是我自己的那个“死亡”的原因;
4. 想来想去,框架化的思想留给读者去思考吧,雨后春笋很多的,都还不够好,目前坚持更新且如此国际范、开源范的就BeEF了,向BeEF致敬;
Continue reading

关于CSP:
CSP策略使得Web前端更有序,从而更安全,这是一个好趋势,W3C已经在大力推进这样的策略:http://www.w3.org/TR/CSP/。Firefox与Chrome已经开始支持,IE 10也会开始支持。

今晚我们讨论这个时,sogl发起的这些讨论:
http://zone.wooyun.org/content/1310

CSP策略在《Web前端黑客技术揭秘》中最后一章的“迟到的CSP策略”小节有详细描述,这里不多说了,跨站师需要关注关注CSP的动态:)

你们认为呢?
Continue reading

非常好,基本上是在12月可以上市发行,书名敲定《Web前端黑客技术揭秘》,不过还是简称为“Web前端黑客”吧,提交出版社后,轻松了很多,2个序、4个书评都提交了(这些来自圈内各位大牛),后续时间就是让这本书诞生!

本书两个作者,我和heart,我主写近80%的内容,所以我这次有吐血的感觉,基本没保留地将自己这些年的经验与积累放出来了,不过实话是:保留是有的,因为有些根本是写不出来的……也许和我内心一种抵触有关系,因为我觉得:这仅是一本书而已。

这本书是国内第一本专注Web前端安全攻防类的书籍,基本不照顾初学者,然后对于那些有前端能力的人,稍微有些安全见识的,也是能上手的,我觉得搞前端搞到变态的人更应该,更应该换个口味,从真正黑客的视角去看看前端的安全问题。而那些还徘徊在弹个框的新生代力量更需要上一个大台阶。对于已经站在大台阶上的牛人们,也可以看看,会有很多灵感碰撞的。

这本书不会让大家失望,如果意犹未尽欢迎到时候联系我,比如微博@evilcos。

从这篇文章开始,我和另一位作者heart会在本书上市前不断八卦我们的内容,别急。

发现了,知识点各种杂碎,你从网络上东拼西凑的,而且还可能遇到各种错误的,然后没有足够的内功,很容易就迷失了。Web安全很简单吗?实际上很难,比如单说研究一个DOM,使出平生最大的劲,还只能说:我入门了。不同浏览器处理DOM的方式还存在差异,差异可能导致漏洞,很多问题一追根溯源,没完没了,这是因为真正的基础功没打牢。

这书挤啊挤,终于看到希望了,不是我不想快快写出来,实在是太忙了,去年在大连和刺还互相慰问了对方的书,他的出来了,羡慕一番,赶紧回头加把劲。我真的发誓以后不写技术书籍了,写书的使命感还是比较强的,所以对自己没写一笔的要求比较高,算是一种负责的表现。

待完全截稿那天,我会开始各种八卦,被压抑太久了:)