计划准备出一个PPT专门讲解CSRF里的各种奇技淫巧,除了那些老套的手法之外:

https://github.com/evilcos/papers
我公布的Papers里有个PPT是《CSRF攻击-苏醒的巨人》,可以参考。

还包括以前提的Flash CSRF/XSF等方式,细节可以温习去年我的Paper(隐蔽的战场—Flash Web攻击),希望Flash是日不落帝国,虽然现在快日落了,但是不影响我们的最后挣扎。

除了这些,当然会有新的玩意,比如JSON Hijacking就一直在进化。还有去年很火的WormHole,这是JSON Hijacking本地攻击的一种延伸,点击下这个试试:

http://evilcos.me/lab/pac.html

Continue reading

Seebug Paper之前收录了三篇文章有些关联性,分别是:

  1. 绕过混合内容警告 – 在安全的页面加载不安全的内
    http://paper.seebug.org/112/
  2. 检测本地文件躲避安全分析
    http://paper.seebug.org/87/
  3. 基于浏览器的指纹识别:影响和缓解措施
    http://paper.seebug.org/64/

有个关键点是:混合内容的安全性

这里提到的主要是协议的混合,如https/http/file/res/mhtml等,现代浏览器逐渐开始隔离这些协议,比如https下加载http的内容时,给出安全提示;再比如“修补”file/res/mhtml这些协议在http协议的网页里带来的安全问题,如本地文件探测(常见的是杀软探测)。

Continue reading

http://threatpost.com/csp-1-0-added-to-firefox-to-block-xss-attacks/

X-Content-Security-Policy头会变为:Content-Security-Policy。

我没测试,不过据说Firefox、Chrome、IE10(沙箱模式)都支持了这个头。CSP1.0 还支持内嵌的样式的屏蔽,这些目的都是为了防御XSS。

我们的《Web前端黑客技术揭秘》最后一章有详细说明(http://vdisk.weibo.com/s/GDqYZ开放),并认为CSP最终会成为XSS的终结者。不过这需要那些网站配合浏览器的CSP策略了,不仅能保证代码编写规范,也能保证前端安全性。

:)

关于CSP:
CSP策略使得Web前端更有序,从而更安全,这是一个好趋势,W3C已经在大力推进这样的策略:http://www.w3.org/TR/CSP/。Firefox与Chrome已经开始支持,IE 10也会开始支持。

今晚我们讨论这个时,sogl发起的这些讨论:
http://zone.wooyun.org/content/1310

CSP策略在《Web前端黑客技术揭秘》中最后一章的“迟到的CSP策略”小节有详细描述,这里不多说了,跨站师需要关注关注CSP的动态:)

你们认为呢?
Continue reading