白帽子讲浏览器安全

封面
书名
版权
前言
目录
第1篇 初探浏览器安全
1 漏洞与浏览器安全
1.1 漏洞的三要素
1.2 漏洞的生命周期
1.3 浏览器安全概述
1.4 浏览器安全的现状
1.5 浏览器的应对策略
1.6 “白帽子”，与浏览器厂商的联手协作
1.7 全书概览
1.8 本章小结
2 浏览器中常见的安全概念
2.1 URL
2.1.1 URL的标准形式
2.1.2 IRI
2.1.3 URL的“可视化”问题——字形欺骗钓鱼攻击
2.1.4 国际化域名字形欺骗攻击
2.1.5 自纠错与Unicode字符分解映射
2.1.6 登录信息钓鱼攻击
2.2 HTTP协议
2.2.1 HTTP HEADER
2.2.2 发起HTTP请求
2.2.3 Cookie
2.2.4 收到响应
2.2.5 HTTP协议自身的安全问题
2.2.6 注入响应头：CRLF攻击
2.2.7 攻击响应：HTTP 401钓鱼
2.3 浏览器信息安全的保障
2.3.1 源
2.3.2 同源准则
2.3.3 源的特殊处理
2.3.4 攻击同源准则：IE11跨任意域脚本注入一例
2.4 特殊区域的安全限制
2.4.1 安全域
2.4.2 本地域
2.5 伪协议
2.5.1 data伪协议
2.5.2 about伪协议
2.5.3 javascript／vbscript伪协议
2.5.4 伪协议逻辑出错：某浏览器跨任意域脚本注入一例
2.6 本章小结
3 探索浏览器的导航过程
3.1 导航开始
3.1.1 浏览器的导航过程
3.1.2 DNS请求
3.1.3 DNS劫持和DNS污染
3.1.4 导航尚未开始时的状态同步问题
3.1.5 实例：针对导航过程发起攻击
3.2 建立安全连接
3.2.1 HTTPS
3.2.2 HTTPS请求中的Cookie
3.3 响应数据的安全检查——XSS过滤器
3.3.1 IE XSS Filter的实现原理
3.3.2 Chrome XSSAuditor的工作原理
3.4 文档的预处理
3.4.1 浏览器对HTML文档的标准化
3.4.2 设置兼容模式
3.5 处理脚本
3.5.1 脚本的编码
3.5.2 IE的CSS expression的各种编码模式
3.5.3 浏览器的应对策略：CSP
3.5.4 “绕过”CSP： MIME Sniff
3.5.5 简单的Fuzz：混淆CSS expression表达式
3.6 攻击HTML标准化过程绕过IE／Chrome的XSS Filter
3.7 本章小结
4 页面显示时的安全问题
4.1 点击劫持
4.1.1 点击劫持页面的构造
4.1.2 X-Frame-Options
4.2 HTML5的安全问题
4.2.1 存储API
4.2.2 跨域资源共享
4.2.3 基于FullScreen和Notification API的新型钓鱼攻击
4.2.4 组合API后可能导致的安全问题
4.2.5 引入新的XSS攻击向量
4.2.6 互联网威胁
4.3 HTTPS与中间人攻击
4.3.1 HTTPS的绿锁
4.3.2 HTTPS有多安全？
4.3.3 HSTS
4.3.4 使用SSLStrip阻止HTTP升级HTTPS
4.3.5 使用Fiddler对PC端快速进行中间人攻击测试
4.3.6 使用Fiddler脚本和AutoResponse自动发起中间人攻击
4.4 本章小结
5 浏览器扩展与插件的安全问题
5.1 插件
5.1.1 ActiveX
5.1.2 ActiveX的安全问题
5.1.3 ActiveX的逻辑漏洞
5.1.4 NPAPI、 PPAPI
5.2 定制浏览器的扩展和插件的漏洞
5.2.1 特权API暴露
5.2.2 DOM修改引入攻击向量
5.2.3 Windows文件名相关的多个问题
5.2.4 NPAPI DLL的问题
5.2.5 同源检查不完善
5.2.6 Content Script劫持
5.2.7 权限隔离失败
5.2.8 配合切核策略＋本地内部页XSS执行代码
5.2.9 下载服务器限制宽松
5.2.10 TLDs判定问题
5.2.11 经典漏洞
5.2.12 中间人
5.3 Adobe Flash插件与Action Script
5.3.1 Flash的语言——Action Script
5.3.2 Flash文档的反编译、再编译与调试
5.3.3 SWF的网络交互：URLLoader
5.3.4 crossdomain.xml与Flash的“沙盒”
5.3.5 ExternalInterface
5.3.6 FLASH XSS
5.3.7 Microsoft Edge中的Flash ActiveX
5.4 浏览器的沙盒
5.4.1 受限令牌
5.4.2 完整性级别与IE的保护模式
5.4.3 任务对象
5.5 本章小结
6 移动端的浏览器安全
6.1 移动浏览器的安全状况
6.2 移动端的威胁
6.2.1 通用跨站脚本攻击
6.2.2 地址栏伪造
6.2.3 界面伪装
6.3 结合系统特性进行攻击
6.3.1 Android一例漏洞：使用Intent URL Scheme绕过Chrome SOP
6.3.2 iOS的一例漏洞：自动拨号泄露隐私
6.3.3 Windows Phone一例未修补漏洞：利用Cortana显示IE中已保存密码
6.4 本章小结
第2篇 实战网马与代码调试
7 实战浏览器恶意网页分析
7.1 恶意网站中“看得见的”攻防
7.2 恶意脚本的抓取和分析
7.2.1 发现含攻击代码的网址
7.2.2 使用rDNS扩大搜索结果
7.2.3 下载攻击代码
7.2.4 搭建测试环境
7.2.5 初识网马反混淆工具
7.2.6 恶意脚本中常见的编码方式
7.3 一个简单的挂马代码的处理
7.3.1 快速判断挂马
7.3.2 JS代码的格式化
7.4 更为复杂的代码处理：对Angler网马工具包的反混淆
7.4.1 Angler EK的特征
7.4.2 推理：找出代码中的“解密-执行”模式
7.4.3 检证：确定“解密-执行”模式的位置和方法
7.4.4 追踪：使用浏览器特性判断用户环境
7.4.5 利用漏洞CVE-2014-6332发起攻击
7.5 本章小结
8 调试工具与Shellcode
8.1 调试工具的用法
8.1.1 调试符号
8.1.2 WinDbg的用法
8.1.3 IDA的用法
8.1.4 OllyDbg的用法
8.2 与Shellcode的相关名词
8.2.1 机器指令
8.2.2 控制关键内存地址
8.2.3 NOP Slide
8.2.4 Magic Number 0x8123
8.3 Shellcode的处理
8.3.1 实现通用的Shellcode
8.3.2 调试网马中的Shellcode
8.4 本章小结
第3篇 深度探索浏览器漏洞
9 漏洞的挖掘
9.1 挖0day
9.1.1 ActiveX Fuzzer的原理
9.1.2 使用AxMan Fuzzer来Fuzz ActiveX插件
9.1.3 现场复现
9.2 DOM Fuzzer的搭建
9.2.1 搭建运行Grinder的环境
9.2.2 Fuzzer的结构与修改
9.2.3 现场复现
9.3 崩溃分析
9.3.1 哪些典型崩溃不能称作浏览器漏洞
9.3.2 ActiveX崩溃一例
9.3.3 IE11崩溃一例
9.4 本章小结
10 网页的渲染
10.1 网页的渲染
10.1.1 渲染引擎
10.1.2 DOM结构模型
10.1.3 IE解析HTML的过程
10.1.4 IE的Tokenize
10.1.5 Chrome解析HTML的过程
10.1.6 Chrome的Tokenize
10.2 元素的创建
10.2.1 IE中元素的创建过程
10.2.2 Chrome中元素的创建过程
10.2.3 元素的生成规律
10.3 实战：使用WinDbg跟踪元素的生成
10.4 实战：使用WinDbg跟踪元素的插入
10.5 实战：使用WinDbg跟踪元素的释放
10.6 本章小结
11 漏洞的分析
11.1 分析IE漏洞CVE-2012-4969
11.1.1 崩溃分析
11.1.2 追根溯源
11.2 分析JScript9漏洞CVE-2015-2425
11.2.1 跟踪漏洞
11.3 Hacking Team的Flash漏洞CVE-2015-5119分析
11.3.1 静态阅读：成因分析
11.3.2 Vector的覆盖过程
11.4 本章小结
12 漏洞的利用
12.1 ShellCode的编写
12.2 CVE-2012-4969的利用
12.2.1 DEP／ASLR绕过
12.3 CVE-2015-5119的Vector
12.4 本章小结
附录
附录A IE （Edge）的URL截断
附录B IE的控制台截断
附录C 表单中的mailto：外部协议
附录D 危险的regedit：外部协议
附录E IE XSS Filter的漏洞也会帮助执行XSS
附录F 更高级的策略保护——CSP Level 2
附录G 更快的执行速度——JScript5 to Chakra
附录H Chakra的整数存储
附录I 安全实践
参考资料
封底