白帽子講瀏覽器安全

第1 篇 初探瀏覽器安全  1
1 漏洞與瀏覽器安全 3
1.1 漏洞的三要素  3
1.2 漏洞的生命周期  4
1.3 瀏覽器安全概述  5
1.4 瀏覽器安全的現(xiàn)狀  7
1.5 瀏覽器的應對策略  9
1.6 “白帽子”與瀏覽器廠商的聯(lián)手協(xié)作  9
1.7 全書概覽  10
1.8 本章小結  12
2 瀏覽器中常見的安全概念  13
2.1 URL 13
2.1.1 URL 的標準形式 15
2.1.2 IRI  16
2.1.3 URL 的“可視化”問題——字形欺騙釣魚攻擊  18
2.1.4 國際化域名字形欺騙攻擊  19
2.1.5 自糾錯與Unicode 字符分解映射 20
2.1.6 登錄信息釣魚攻擊  23
2.2 HTTP 協(xié)議 24
2.2.1 HTTP HEADER 25
2.2.2 發(fā)起HTTP 請求  26
2.2.3 Cookie  28
2.2.4 收到響應  29
2.2.5 HTTP 協(xié)議自身的安全問題 31
2.2.6 注入響應頭：CRLF 攻擊 31
2.2.7 攻擊響應：HTTP 401 釣魚 32
2.3 瀏覽器信息安全的保障  33
2.3.1 源  33
2.3.2 同源準則  34
2.3.3 源的特殊處理  34
2.3.4 攻擊同源準則：IE11 跨任意域腳本注入一例  35
2.4 特殊區(qū)域的安全限制  37
2.4.1 安全域  37
2.4.2 本地域  37
2.5 偽協(xié)議  38
2.5.1 data 偽協(xié)議  38
2.5.2 about 偽協(xié)議  40
2.5.3 javascript/vbscript 偽協(xié)議 41
2.5.4 偽協(xié)議邏輯出錯：某瀏覽器跨任意域腳本注入一例  42
2.6 本章小結  43
3 探索瀏覽器的導航過程  45
3.1 導航開始  45
3.1.1 瀏覽器的導航過程  46
3.1.2 DNS 請求 46
3.1.3 DNS 劫持和DNS 污染 47
3.1.4 導航尚未開始時的狀態(tài)同步問題  48
3.1.5 實例：針對導航過程發(fā)起攻擊  49
3.2 建立安全連接  50
3.2.1 HTTPS  50
3.2.2 HTTPS 請求中的Cookie  51
3.3 響應數(shù)據的安全檢查——XSS 過濾器  52
3.3.1 IE XSS Filter 的實現(xiàn)原理 53
3.3.2 Chrome XSSAuditor 的工作原理 55
3.4 文檔的預處理  56
3.4.1 瀏覽器對HTML 文檔的標準化 56
3.4.2 設置兼容模式  57
3.5 處理腳本  59
3.5.1 腳本的編碼  60
3.5.2 IE 的CSS expression 的各種編碼模式  62
3.5.3 瀏覽器的應對策略：CSP 63
3.5.4 “繞過”CSP：MIME Sniff 65
3.5.5 簡單的Fuzz：混淆CSS expression 表達式  68
3.6 攻擊HTML 標準化過程繞過IE/Chrome 的XSS Filter 71
3.7 本章小結  73
4 頁面顯示時的安全問題  75
4.1 點擊劫持  76
4.1.1 點擊劫持頁面的構造  76
4.1.2 X-Frame-Options 78
4.2 HTML5 的安全問題  80
4.2.1 存儲API  81
4.2.2 跨域資源共享  83
4.2.3 基于FullScreen 和Notification API 的新型釣魚攻擊  84
4.2.4 組合API 后可能導致的安全問題  87
4.2.5 引入新的XSS 攻擊向量  87
4.2.6 互聯(lián)網威脅  89
4.3 HTTPS 與中間人攻擊 92
4.3.1 HTTPS 的綠鎖 92
4.3.2 HTTPS 有多安全？ 94
4.3.3 HSTS  96
4.3.4 使用SSLStrip 阻止HTTP 升級HTTPS  97
4.3.5 使用Fiddler 對PC 端快速進行中間人攻擊測試  99
4.3.6 使用Fiddler 腳本和AutoResponse 自動發(fā)起中間人攻擊 101
4.4 本章小結  103
5 瀏覽器擴展與插件的安全問題 105
5.1 插件 106
5.1.1 ActiveX  106
5.1.2 ActiveX 的安全問題 107
5.1.3 ActiveX 的邏輯漏洞 108
5.1.4 NPAPI、PPAPI  111
5.2 定制瀏覽器的擴展和插件的漏洞  113
5.2.1 特權API 暴露 114
5.2.2 DOM 修改引入攻擊向量 114
5.2.3 Windows 文件名相關的多個問題  115
5.2.4 NPAPI DLL 的問題 116
5.2.5 同源檢查不完善  117
5.2.6 Content Script 劫持  118
5.2.7 權限隔離失敗  118
5.2.8 配合切核策略+本地內部頁XSS 執(zhí)行代碼 118
5.2.9 下載服務器限制寬松  119
5.2.10 TLDs 判定問題  119
5.2.11 經典漏洞  120
5.2.12 中間人  120
5.3 Adobe Flash 插件與Action Script  121
5.3.1 Flash 的語言——Action Script 121
5.3.2 Flash 文檔的反編譯、再編譯與調試  122
5.3.3 SWF 的網絡交互：URLLoader  124
5.3.4 crossdomain.xml 與Flash 的“沙盒” 125
5.3.5 ExternalInterface  126
5.3.6 FLASH XSS 126
5.3.7 Microsoft Edge 中的Flash ActiveX  130
5.4 瀏覽器的沙盒  131
5.4.1 受限令牌  132
5.4.2 完整性級別與IE 的保護模式  133
5.4.3 任務對象  134
5.5 本章小結  135
6 移動端的瀏覽器安全  137
6.1 移動瀏覽器的安全狀況  138
6.2 移動端的威脅  141
6.2.1 通用跨站腳本攻擊  141
6.2.2 地址欄偽造  142
6.2.3 界面?zhèn)窝b  143
6.3 結合系統(tǒng)特性進行攻擊  144
6.3.1 Android 一例漏洞：使用Intent URL Scheme 繞過Chrome SOP  144
6.3.2 iOS 的一例漏洞：自動撥號泄露隱私 146
6.3.3 Windows Phone 一例未修補漏洞：利用Cortana 顯示IE 中已保存密碼 147
6.4 本章小結  149
第2 篇 實戰(zhàn)網馬與代碼調試
7 實戰(zhàn)瀏覽器惡意網頁分析  153
7.1 惡意網站中“看得見的”攻防  153
7.2 惡意腳本的抓取和分析  155
7.2.1 發(fā)現(xiàn)含攻擊代碼的網址  156
7.2.2 使用rDNS 擴大搜索結果 156
7.2.3 下載攻擊代碼  157
7.2.4 搭建測試環(huán)境  158
7.2.5 初識網馬反混淆工具  158
7.2.6 惡意腳本中常見的編碼方式  159
7.3 一個簡單的掛馬代碼的處理  169
7.3.1 快速判斷掛馬  169
7.3.2 JS 代碼的格式化 170
7.4 更為復雜的代碼處理：對Angler 網馬工具包的反混淆 170
7.4.1 Angler EK 的特征 170
7.4.2 推理：找出代碼中的“解密-執(zhí)行”模式 172
7.4.3 檢證：確定“解密-執(zhí)行”模式的位置和方法 175
7.4.4 追蹤：使用瀏覽器特性判斷用戶環(huán)境  179
7.4.5 利用漏洞CVE-2014-6332 發(fā)起攻擊 188
7.5 本章小結  190
8 調試工具與Shellcode 191
8.1 調試工具的用法  191
8.1.1 調試符號  191
8.1.2 WinDbg 的用法 192
8.1.3 IDA 的用法  195
8.1.4 OllyDbg 的用法 199
8.2 與Shellcode 的相關名詞  201
8.2.1 機器指令  201
8.2.2 控制關鍵內存地址  203
8.2.3 NOP Slide 204
8.2.4 Magic Number 0x8123 205
8.3 Shellcode 的處理 205
8.3.1 實現(xiàn)通用的Shellcode 206
8.3.2 調試網馬中的Shellcode 212
8.4 本章小結  218
第3 篇 深度探索瀏覽器漏洞
9 漏洞的挖掘  221
9.1 挖0day 221
9.1.1 ActiveX Fuzzer 的原理 221
9.1.2 使用AxMan Fuzzer 來Fuzz ActiveX 插件  222
9.1.3 現(xiàn)場復現(xiàn)  225
9.2 DOM Fuzzer 的搭建  229
9.2.1 搭建運行Grinder 的環(huán)境  230
9.2.2 Fuzzer 的結構與修改  231
9.2.3 現(xiàn)場復現(xiàn)  232
9.3 崩潰分析  233
9.3.1 哪些典型崩潰不能稱作瀏覽器漏洞  233
9.3.2 ActiveX 崩潰一例 236
9.3.3 IE11 崩潰一例 238
9.4 本章小結  244
10 網頁的渲染  245
10.1 網頁的渲染  245
10.1.1 渲染引擎  245
10.1.2 DOM 結構模型  247
10.1.3 IE 解析HTML 的過程  249
10.1.4 IE 的Tokenize 251
10.1.5 Chrome 解析HTML 的過程 253
10.1.6 Chrome 的Tokenize  254
10.2 元素的創(chuàng)建  256
10.2.1 IE 中元素的創(chuàng)建過程 256
10.2.2 Chrome 中元素的創(chuàng)建過程  257
10.2.3 元素的生成規(guī)律  258
10.3 實戰(zhàn)：使用WinDbg 跟蹤元素的生成 260
10.4 實戰(zhàn)：使用WinDbg 跟蹤元素的插入 263
10.5 實戰(zhàn)：使用WinDbg 跟蹤元素的釋放 264
10.6 本章小結  266
11 漏洞的分析  267
11.1 分析IE 漏洞CVE-2012-4969 267
11.1.1 崩潰分析  268
11.1.2 追根溯源  270
11.2 分析JScript9 漏洞CVE-2015-2425  271
11.2.1 跟蹤漏洞  275
11.3 Hacking Team 的Flash 漏洞CVE-2015-5119 分析  276
11.3.1 靜態(tài)閱讀：成因分析  276
11.3.2 Vector 的覆蓋過程 278
11.4 本章小結  279
12 漏洞的利用  281
12.1 ShellCode 的編寫  281
12.2 CVE-2012-4969 的利用 284
12.2.1 DEP/ASLR 繞過  287
12.3 CVE-2015-5119 的Vector 296
12.4 本章小結  301
附錄  303
附錄A IE（Edge）的URL 截斷 303
附錄B IE 的控制臺截斷 304
附錄C 表單中的mailto: 外部協(xié)議 305
附錄D 危險的regedit: 外部協(xié)議  306
附錄E IE XSS Filter 的漏洞也會幫助執(zhí)行XSS 307
附錄F 更高級的策略保護——CSP Level 2  308
附錄G 更快的執(zhí)行速度——JScript5 to Chakra  309
附錄H Chakra 的整數(shù)存儲 310
附錄I 安全實踐 311
參考資料 315