白帽子讲浏览器安全

扉页......Page 1
内 容 简 介......Page 2
序......Page 3
前言......Page 5
目录......Page 9
第1篇 初探浏览器安全......Page 17
1.1 漏洞的三要素......Page 19
1.2 漏洞的生命周期......Page 20
1.3 浏览器安全概述......Page 21
1.4 浏览器安全的现状......Page 23
1.6 “白帽子”与浏览器厂商的联手协作......Page 25
1.7 全书概览......Page 26
1.8 本章小结......Page 28
2.1 URL......Page 29
2.1.1 URL的标准形式......Page 31
2.1.2 IRI......Page 32
2.1.3 URL的“可视化”问题——字形欺骗钓鱼攻击......Page 34
2.1.4 国际化域名字形欺骗攻击......Page 35
2.1.5 自纠错与Unicode字符分解映射......Page 36
2.1.6 登录信息钓鱼攻击......Page 39
2.2 HTTP协议......Page 40
2.2.1 HTTP HEADER......Page 41
2.2.2 发起HTTP请求......Page 42
2.2.3 Cookie......Page 44
2.2.4 收到响应......Page 45
2.2.6 注入响应头：CRLF攻击......Page 47
2.2.7 攻击响应：HTTP 401 钓鱼......Page 48
2.3.1 源......Page 49
2.3.3 源的特殊处理......Page 50
2.3.4 攻击同源准则：IE11跨任意域脚本注入一例......Page 51
2.4.2 本地域......Page 53
2.5.1 data伪协议......Page 54
2.5.2 about伪协议......Page 56
2.5.3 javascript/vbscript伪协议......Page 57
2.5.4 伪协议逻辑出错：某浏览器跨任意域脚本注入一例......Page 58
2.6 本章小结......Page 59
3.1 导航开始......Page 61
3.1.2 DNS请求......Page 62
3.1.3 DNS劫持和DNS污染......Page 63
3.1.4 导航尚未开始时的状态同步问题......Page 64
3.1.5 实例：针对导航过程发起攻击......Page 65
3.2.1 HTTPS......Page 66
3.2.2 HTTPS请求中的Cookie......Page 67
3.3 响应数据的安全检查——XSS过滤器......Page 68
3.3.1 IE XSS Filter 的实现原理......Page 69
3.4 文档的预处理......Page 71
3.4.1 浏览器对HTML文档的标准化......Page 72
3.4.2 设置兼容模式......Page 73
3.5 处理脚本......Page 75
3.5.1 脚本的编码......Page 76
3.5.2 IE的CSS expression的各种编码模式......Page 78
3.5.3 浏览器的应对策略：CSP......Page 79
3.5.4 “绕过”CSP：MIME Sniff......Page 81
3.5.5 简单的Fuzz：混淆CSS expression表达式......Page 84
3.6 攻击HTML标准化过程绕过IE/Chrome的XSS Filter......Page 87
3.7 本章小结......Page 89
4 页面显示时的安全问题......Page 91
4.1.1 点击劫持页面的构造......Page 92
4.1.2 X-Frame-Options......Page 94
4.2 HTML5的安全问题......Page 96
4.2.1 存储API......Page 97
4.2.2 跨域资源共享......Page 99
4.2.3 基于FullScreen和Notification API的新型钓鱼攻击......Page 100
4.2.5 引入新的XSS 攻击向量......Page 103
4.2.6 互联网威胁......Page 105
4.3.1 HTTPS的绿锁......Page 108
4.3.2 HTTPS有多安全？......Page 110
4.3.3 HSTS......Page 112
4.3.4 使用SSLStrip阻止HTTP升级HTTPS......Page 113
4.3.5 使用Fiddler对PC端快速进行中间人攻击测试......Page 115
4.3.6 使用Fiddler脚本和AutoResponse自动发起中间人攻击......Page 117
4.4 本章小结......Page 119
5 浏览器扩展与插件的安全问题......Page 121
5.1.1 ActiveX......Page 122
5.1.2 ActiveX的安全问题......Page 123
5.1.3 ActiveX的逻辑漏洞......Page 124
5.1.4 NPAPI、PPAPI......Page 127
5.2 定制浏览器的扩展和插件的漏洞......Page 129
5.2.2 DOM 修改引入攻击向量......Page 130
5.2.3 Windows文件名相关的多个问题......Page 131
5.2.4 NPAPI DLL的问题......Page 132
5.2.5 同源检查不完善......Page 133
5.2.8 配合切核策略+本地内部页XSS执行代码......Page 134
5.2.10 TLDs判定问题......Page 135
5.2.12 中间人......Page 136
5.3.1 Flash的语言——Action Script......Page 137
5.3.2 Flash文档的反编译、再编译与调试......Page 138
5.3.3 SWF的网络交互：URLLoader......Page 140
5.3.4 crossdomain.xml 与Flash的“沙盒”......Page 141
5.3.6 FLASH XSS......Page 142
5.3.7 Microsoft Edge中的Flash ActiveX......Page 146
5.4 浏览器的沙盒......Page 147
5.4.1 受限令牌......Page 148
5.4.2 完整性级别与IE的保护模式......Page 149
5.4.3 任务对象......Page 150
5.5 本章小结......Page 151
6 移动端的浏览器安全......Page 153
6.1 移动浏览器的安全状况......Page 154
6.2.1 通用跨站脚本攻击......Page 157
6.2.2 地址栏伪造......Page 158
6.2.3 界面伪装......Page 159
6.3.1 Android 一例漏洞：使用Intent URL Scheme绕过Chrome SOP......Page 160
6.3.2 iOS的一例漏洞：自动拨号泄露隐私......Page 162
6.3.3 Windows Phone一例未修补漏洞：利用Cortana显示IE中已保存密码......Page 163
6.4 本章小结......Page 165
第2篇 实战网马与代码调试......Page 167
7.1 恶意网站中“看得见的”攻防......Page 169
7.2 恶意脚本的抓取和分析......Page 171
7.2.2 使用rDNS扩大搜索结果......Page 172
7.2.3 下载攻击代码......Page 173
7.2.5 初识网马反混淆工具......Page 174
7.2.6 恶意脚本中常见的编码方式......Page 175
7.2.6.1 字符串的编码方式......Page 176
7.2.6.2 实战处理一个仿QQ空间钓鱼网站的加密......Page 179
7.3.1 快速判断挂马......Page 185
7.4.1 Angler EK的特征......Page 186
7.4.2 推理：找出代码中的“解密-执行”模式......Page 188
7.4.3 检证：确定“解密-执行”模式的位置和方法......Page 191
7.4.4 追踪：使用浏览器特性判断用户环境......Page 195
7.4.4.1 利用RES URI Scheme嗅探计算机信息......Page 199
7.4.4.2 利用Microsoft.XMLDOM嗅探计算机信息......Page 201
7.4.4.3 破解自造加密函数获取漏洞Flash文件地址......Page 202
7.4.5 利用漏洞CVE-2014-6332发起攻击......Page 204
7.5 本章小结......Page 206
8.1.1 调试符号......Page 207
8.1.2 WinDbg的用法......Page 208
8.1.3 IDA的用法......Page 211
8.1.4 OllyDbg的用法......Page 215
8.2.1 机器指令......Page 217
8.2.2 控制关键内存地址......Page 219
8.2.3 NOP Slide......Page 220
8.3 Shellcode的处理......Page 221
8.3.1 实现通用的Shellcode......Page 222
8.3.2 调试网马中的Shellcode......Page 228
8.4 本章小结......Page 234
第3篇 深度探索浏览器漏洞......Page 235
9.1.1 ActiveX Fuzzer 的原理......Page 237
9.1.2 使用AxMan Fuzzer来Fuzz ActiveX插件......Page 238
9.1.3 现场复现......Page 241
9.2 DOM Fuzzer的搭建......Page 245
9.2.1 搭建运行Grinder的环境......Page 246
9.2.2 Fuzzer的结构与修改......Page 247
9.2.3 现场复现......Page 248
2．栈溢出......Page 249
3．除以零异常......Page 250
4．内存占用过大......Page 251
9.3.2 ActiveX崩溃一例......Page 252
9.3.3 IE11崩溃一例......Page 254
9.4 本章小结......Page 260
10.1.1 渲染引擎......Page 261
10.1.2 DOM结构模型......Page 263
10.1.3 IE解析HTML的过程......Page 265
10.1.4 IE的Tokenize......Page 267
10.1.5 Chrome解析HTML的过程......Page 269
10.1.6 Chrome的Tokenize......Page 270
10.2.1 IE中元素的创建过程......Page 272
10.2.2 Chrome中元素的创建过程......Page 273
10.2.3 元素的生成规律......Page 274
10.3 实战：使用WinDbg跟踪元素的生成......Page 276
10.4 实战：使用WinDbg跟踪元素的插入......Page 279
10.5 实战：使用WinDbg跟踪元素的释放......Page 280
10.6 本章小结......Page 282
11.1 分析IE漏洞CVE-2012-4969......Page 283
11.1.1 崩溃分析......Page 284
11.1.2 追根溯源......Page 286
11.2 分析JScript9漏洞CVE-2015-2425......Page 287
11.2.1 跟踪漏洞......Page 291
11.3.1 静态阅读：成因分析......Page 292
11.3.2 Vector的覆盖过程......Page 294
11.4 本章小结......Page 295
12.1 ShellCode的编写......Page 297
12.2 CVE-2012-4969 的利用......Page 300
12.2.1 DEP/ASLR绕过......Page 303
12.3 CVE-2015-5119的Vector......Page 312
12.4 本章小结......Page 317
附录A IE（Edge）的URL截断......Page 319
附录B IE的控制台截断......Page 320
附录C 表单中的mailto: 外部协议......Page 321
附录D 危险的regedit: 外部协议......Page 322
附录E IE XSS Filter的漏洞也会帮助执行XSS......Page 323
附录F 更高级的策略保护——CSP Level 2......Page 324
附录G 更快的执行速度——JScript5 to Chakra......Page 325
附录H Chakra的整数存储......Page 326
附录I 安全实践......Page 327
参考资料......Page 331