XSS浪潮已经到了
有感而发。
前些天和Roy厉在微博上聊到微信公众账号,我说我在辛苦运营“网站安全中心”这个账号呢,他说我这账号粉丝少是少了点,不过用户定位精确,我说我不希望精确,因为我在尽可能写科普,科普需要传播。
Roy厉说过两天他会在他的“戏里戏外”这个微信公众账号里帮我推推,这不,昨天推了下,就涨了很多粉。
这里特别感谢他下,也推荐大家收听这位有情怀的黑客的“戏里戏外”。
今天的话题也是顺着他的推荐而起的,他说到我玩XSS数一数二,奠定了之后的一些玩法。对他的说法,不敢当。
书
其实我是后起之秀,07年底才开始从PC安全专过来研究前端安全,不知道为什么我感觉前端安全会是一次浪潮。
XSS的很多玩法,我都写进我们的书里《Web前端黑客技术揭秘》,不过我曾经说过,我是带着痛苦写完书的,我的文笔本来还可以,可是痛苦+死板的出版语言,让我越来越没劲,就开始在很多地方几句话带过,或者贴段代码了事,最后在书开印的前几天,要求加上web2hack.org到书的开头,以准备之后弥补书中的一些不足。
认真看我们这本书的同学肯定会有大收获,半吊子的人将一点收获都没,我可以肯定的是书中的很多知识是非常有帮助的,不仅仅是Web前端,更重要的是思想。
我还牢骚几次,说由于一些敏感原因,很多东西并没往书里写,这些敏感的往往是一些黑产、灰产等的惯用手法,包括一些事件,没曝光天日。
人
08年的时候圈内在我看来一流的前端安全玩家有:
黑哥 - 幻影核心,目前在知道创宇,我们团队
剑心 - 80sec创始人,wooyun老大
茄子 - 80sec核心
luoluo - 幻影核心,80sec核心
刺 - 幻影核心,道哥黑板报
Monyer - xeye核心
这些人基本都是85后,除了我们这些暴露在外的人,还有一些是没暴露的人,就不说了。这些人奠定了前端的很多玩法,基本都是跨界、跨国玩耍的。
至于国外的当时一些牛人等以后说,web2hack.org上列出了些。08年开始我保持每天跟进国内外各种和前端安全有关的paper,也玩出了一些花样出来,然后就想总该留下点什么,这不,这本书就留下了……
在写书的过程中,也结交了当前我认为前端安全非常不错的玩家新力量(今年是2013年):
sogl - 曾经在我们团队,pkav核心
小雄 - 在我们团队,加速乐团队
pkav团队 - gainover,only_guest等,在wooyun上玩出了很多花样
redrain - 特立独行
这些人都是90后。
事
1. 有人用XSS做APT攻击;
2. 有人在成为JavaScript/Flash/浏览器之神,各种创新玩法;
3. 有人用XSS黑下名人微博;
4. 有人用XSS黑下各种公司(包括安全公司)的相关Web管理系统;
5. 有人在互联网各大处,种下盲打XSS的十字架,就等目标中招;
6. 有人用XSS大规模传播进行钓鱼;
7. 有人用XSS一招搞定目标用户身份;
8. 有人用XSS一招取下目标系统最高权限;
9. 有人用XSS一招取下目标用户操作系统权限;
10. 有人用XSS开点小玩笑;
11. 有人在研发相关工具来将挖掘XSS、利用XSS;
12. ...
Web已经是趋势,移动互联网已经是趋势,云已经是趋势,JavaScript/HTML5也成为了趋势,XSS浪潮早来了,现在追赶还来得及。
在我们团队,我亲自指导了一些人,可惜这些人热情了一会,就没了后续。还指导了相关工具的研发,不过这个成果让我欣慰。如果都半年了,XSS能力还是浮于表面,就不要玩了,让给上面那些新生代力量吧:)
Web前端安全的主角就是XSS,我曾经说过XSS如飞刀搬,杀人不见血,有的人在系统层面上玩,有的人在网络层面上玩,有的人在Web后端上玩,而在Web前端,XSS才是王道。
哪怕有多少人连XSS是什么都不知道;哪怕有多少人只知概念,从未实战;哪怕有多少人嘲讽XSS。XSS这只浏览器的鬼魂来了。
----------分割线----------
这里的文章会首发在我们的官方微信:网站安全中心(ID:wangzhan_anquan),大家如果感兴趣这篇科普,请帮忙传播。我们会持续性的进行安全科普,大家有什么问题可以在微信里给我们留言,我们会认真对待每份留言,并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们。
科普改变世界,我们一起努力让这个互联网更好更安全吧!
本文由知道创宇安全研究团队-余弦撰写。
一条评论
喜欢xss、只因为动静小