浏览器是重要的互联网入口,一旦受到漏洞攻击,将直接影响到用户的信息安全。作为攻击者有哪些攻击思路,作为用户有哪些应对手段?在本书中我们将给出解答,带你了解浏览器安全的方方面面。本书兼顾攻击者、研究者和使用者三个场景,对大部分攻击都提供了分析思路和防御方案。本书从攻击者常用技巧的“表象”深入介绍浏览器的具体实现方式,让你在知其然的情况下也知其所以然。
白帽子再续新篇 首度聚焦安全风眼 超全面|有深度|多实例
序
人类第一次大规模的接触互联网,就是从PC上的浏览器开始的。从它的诞生开始,浏览器安全就成为一个极其重要的安全领域。浏览器内核、网页、钓鱼、XSS,包括让人又爱又恨的网银插件,这些都和浏览器安全息息相关。随着移动互联网和互联网+时代的到来,浏览器已经变成了桌面端的互联网第一入口,而在移动端,虽然浏览器的入口地位受到了手机APP的分流,但依然是最重要的入口之一。浏览器安全问题,变得更加错综复杂。比如iOS越狱,用户只需要简单地访问一个特殊网页就能自动完成,也是利用了iOS Safari的安全漏洞。随着HTML5和HTTP 2标准的先后定稿,以微信、手机QQ为代表的开放平台迅猛发展,使得越来越多的HTML5内容在APP中的WebView里呈现。这些APP同样面临着广义的浏览器安全威胁。
无巧不成书,认识钱文祥也是缘于浏览器。2013年,在乌云上偶然看到几个关于浏览器漏洞的报告后,我在QQ上联系了他。通过几次交谈,发现他是一个对安全技术尤其是浏览器安全技术非常痴迷并且有想法的人。所以,我邀请他来腾讯浏览器产品部工作,负责PC浏览器的安全工作。他在浏览器安全方面的经验,很好地保证了QQ浏览器的安全性,得到了团队的一致认可。此外,他还发现了Microsoft IE的和Google Chrome浏览器的一些漏洞,并得到了这两家公司认可。
当拿到书稿后,我不由地一震。他在工作之余,系统地总结和归纳了自己这些年在浏览器安全方面的一些知识,并深入浅出地呈现出来。这些知识可以给希望了解和学习浏览器安全的人提供一份有益的营养套餐。
浏览器安全,其实涵盖了客户端、web、server等,给初学者一种雾蒙蒙的感觉,同时也给互联网罩上一层迷雾,就好似北京那令人百感交集的雾霾。希望《白帽子讲浏览器安全》一书,能像前几天的一场北风,吹走那迷雾,给读者带来一片清澈的蓝天。
边超,腾讯T4专家,PC浏览器技术负责人
2015/12/8
前言
2015年3月,我在乌云知识库中开始连载IE安全系列的文章(ID:blast)。博文视点的张春雨先生找到我,希望我写一本浏览器安全的书。
此时的浏览器市场已是一片红海——作为用户访问互联网的入口,无论是桌面还是移动端,各厂商争夺浏览器份额的形势,犹如多年前微软和网景的份额大战。这个过程中,他们留给互联网许多实用功能,制订了许多规范。
这些功能中,有一些也留下了不少安全隐患。我正好在从事浏览器安全工作,在日常问题处理中深知浏览器安全现有的资料非常分散,最大的问题便是不少人虽然兴趣浓厚,但是却不知道从哪里开始研究浏览器安全。
我的浏览器安全历程
1999年接触计算机开始,我就对这个庞然大物产生了浓厚的兴趣。2001年家中购买了电脑之后,由于最初的两年电脑没有联网,于是编程便成了我的另一个兴趣爱好。自学了几年编程之后,一直想做出一个有用的工具。
2007年加入卡饭论坛开始的那段时间,应当是我和浏览器安全最长时期的接触,我一直活跃在病毒分析板块。由于当时网马猖獗,对病毒分析爱好的我编写了一个自动化网马解码分析工具Redoce并坚持更新了6年,这段经历让我认识了许多志同道合的朋友,也让我掌握了许多病毒以及漏洞的分析技能。
2010年,我就读安徽理工大学信息安全专业,其间参阅了许多前辈的资料。2013年是我第一次尝试由分析转为漏洞挖掘,之后我便沉浸于此,并最终以一个契机加入腾讯QQ浏览器部门。在腾讯,我依然从事浏览器安全研究工作。
浏览器的用户量数以百万、千万甚至于亿计,这样一款处处都会接受用户输入的软件,一旦出现漏洞,产品口碑和用户的信息安全都会深受其害,这是所有产品相关人员和安全研究人员都不想看到的。在对浏览器代码和应用的安全审查和测试过程中,我也总结了许多浏览器安全的“坑”和补救措施,这些内容将在本书内详细叙述。
本书结构
对有兴趣致力于浏览器安全的研究者来说,不知从哪里入手是研究热情的一个拦路虎。我将日常的经验和历史上的浏览器安全事件结合,编写了本书的3篇共12章的内容。希望能够为浏览器安全研究爱好者提供一些参考。
第1篇 探索浏览器安全介绍了从浏览器的用户界面以及浏览器展示网页的整个过程,针对过程中可能出现的问题进行了探讨,详细地介绍了浏览器的特性以及基础安全概念。浏览器的漏洞挖掘和Fuzz工具密不可分,本篇中我们也将介绍Fuzzer的基本理念并制作出一个可用的Fuzzer。
本篇结合了Web安全与浏览器自身特性,就浏览器处理网页内容的原理及引发的安全问题展开讨论,希望能让读者对浏览器安全产生初步的印象,也打消从未涉及浏览器安全的读者的疑虑。
插件和扩展延伸了浏览器的功能,但是也带来了许多安全风险。
第2篇 实战网马与代码调试是过渡性的篇章,我们从插件和扩展安全说起,再通过几个网马的例子,将重点逐渐从Web向二进制调试转移。
插件部分将介绍逻辑漏洞的挖掘,以及在软件制作中规避风险的方法。网马部分则介绍恶意代码的混淆与加密方式,为恶意代码分析打好基础。代码调试部分则从二进制调试工具的用法开始,最后介绍Shellcode的调试。本章难度适中,希望能够带领读者探索浏览器中的二进制代码。
第3篇 深度探索浏览器漏洞对浏览器漏洞知识进行了更深入的挖掘和探讨。我们将从浏览器对网页元素的处理入手,分析网页元素在浏览器内存中创建时的过程并使用调试工具加以分析。我们还将从常见的漏洞入手,分析漏洞的成因并编写一个完整的浏览器漏洞利用程序。至此完成浏览器漏洞研究的最后一步。
编写历程
编写全书时工作繁忙,我每天只能够在业余时间抽出一至两个小时编写文章和调试代码。经历过后深知编写一本书的不易。在编写本书的过程中,我参考了大量资料。编写一本经验总结性质的书籍不仅仅是对自己过往的一个交待,更是为了促进对自己对浏览器认识的提高。如边超先生所言,通过将知识沉淀为文字,博文也好,书籍也好,都是一种重认识和再发现的过程。
在写一本介绍如此宽泛概念的书籍时,能够系统性地布局则是一大要事。在和乌云社区多个有兴趣研究浏览器安全的白帽子交流之后,最终我选择了本书这样一种先Web后底层深入的布局。但是,列大纲的时候我就发现,浏览器安全中每一部分都可以成为深入挖掘的方向,想在这一本薄薄的书中全部展现也是不切实际的。为了完整地涵盖安全的基础部分,本书挑选的更多是一些典型的例子,我希望通过这些典型例子起到抛砖引玉的作用——因为浏览器安全问题并不是单一因素引起的,更多的很可能是许多异常行为(也就是我们俗称的“BUG”)的组合。
相比于其他计算机科学相关的内容,浏览器安全研究的书籍资料并不多。但是互联网上仍然有许多专业研究人员提供了宝贵的数字资料,在遇到浏览器安全问题时,善用、勤用搜索引擎,是解决问题的一条捷径。
浏览器和浏览器标准的更新换代速度极快,在本书编写的过程中,就有许多新的浏览器标准和新的浏览器防御手段诞生。且本书编写时间仓促,又限于作者自身能力和水平的不足,书中不免会出现疏漏,烦请批评指正或留言宝贵意见。我提供了一个勘误表以及事件提单平台,本书的修订内容将在该平台上发布。平台的地址请见前言结尾的“联系方式”。
致谢
感谢我的公司腾讯科技有限公司和我的同事们,他们都愿意投入到浏览器中,以乐趣为出发点,在团队内部形成积极、友好讨论的氛围。
感谢边超先生为本书作序,边超先生在我开发和研究过程中细致耐心地提供了许多指导和帮助。
同时,也感谢边超、李普君、徐少培、张春雨等先生(排名不分先后)对本书章节布局的非常有建设性的建议。
协助本书内容审核的人员有:毛睿、关乃夫、丁川达、王连赢、李普君、周雨阳、梧桐雨(排名不分先后)等。毛睿先生是我在腾讯工作时的导师,感谢他为我提出了许多宝贵意见。
感谢我的家人,尤其是我的父母在编写本书的时候给予我的无尽的鼓励。
在编写本书时,同样受到了来自许多专家和前辈的指导和鼓励,无论列出与否,都由衷地感谢你们。
联系方式
邮箱:blastxiang@gmail.com
博客:http://nul.pw/
勘误表:http://nul.pw/issues.html
人类第一次大规模的接触互联网,就是从PC上的浏览器开始的。从它的诞生开始,浏览器安全就成为一个极其重要的安全领域。浏览器内核、网页、钓鱼、XSS,包括让人又爱又恨的网银插件,这些都和浏览器安全息息相关。随着移动互联网和互联网+时代的到来,浏览器已经变成了桌面端的互联网第一入口,而在移动端,虽然浏览器的入口地位受到了手机APP的分流,但依然是最重要的入口之一。浏览器安全问题,变得更加错综复杂。比如iOS越狱,用户只需要简单地访问一个特殊网页就能自动完成,也是利用了iOS Safari的安全漏洞。随着HTML5和HTTP 2标准的先后定稿,以微信、手机QQ为代表的开放平台迅猛发展,使得越来越多的HTML5内容在APP中的WebView里呈现。这些APP同样面临着广义的浏览器安全威胁。
无巧不成书,认识钱文祥也是缘于浏览器。2013年,在乌云上偶然看到几个关于浏览器漏洞的报告后,我在QQ上联系了他。通过几次交谈,发现他是一个对安全技术尤其是浏览器安全技术非常痴迷并且有想法的人。所以,我邀请他来腾讯浏览器产品部工作,负责PC浏览器的安全工作。他在浏览器安全方面的经验,很好地保证了QQ浏览器的安全性,得到了团队的一致认可。此外,他还发现了Microsoft IE的和Google Chrome浏览器的一些漏洞,并得到了这两家公司认可。
当拿到书稿后,我不由地一震。他在工作之余,系统地总结和归纳了自己这些年在浏览器安全方面的一些知识,并深入浅出地呈现出来。这些知识可以给希望了解和学习浏览器安全的人提供一份有益的营养套餐。
浏览器安全,其实涵盖了客户端、web、server等,给初学者一种雾蒙蒙的感觉,同时也给互联网罩上一层迷雾,就好似北京那令人百感交集的雾霾。希望《白帽子讲浏览器安全》一书,能像前几天的一场北风,吹走那迷雾,给读者带来一片清澈的蓝天。
边超,腾讯T4专家,PC浏览器技术负责人
2015/12/8
前言
2015年3月,我在乌云知识库中开始连载IE安全系列的文章(ID:blast)。博文视点的张春雨先生找到我,希望我写一本浏览器安全的书。
此时的浏览器市场已是一片红海——作为用户访问互联网的入口,无论是桌面还是移动端,各厂商争夺浏览器份额的形势,犹如多年前微软和网景的份额大战。这个过程中,他们留给互联网许多实用功能,制订了许多规范。
这些功能中,有一些也留下了不少安全隐患。我正好在从事浏览器安全工作,在日常问题处理中深知浏览器安全现有的资料非常分散,最大的问题便是不少人虽然兴趣浓厚,但是却不知道从哪里开始研究浏览器安全。
我的浏览器安全历程
1999年接触计算机开始,我就对这个庞然大物产生了浓厚的兴趣。2001年家中购买了电脑之后,由于最初的两年电脑没有联网,于是编程便成了我的另一个兴趣爱好。自学了几年编程之后,一直想做出一个有用的工具。
2007年加入卡饭论坛开始的那段时间,应当是我和浏览器安全最长时期的接触,我一直活跃在病毒分析板块。由于当时网马猖獗,对病毒分析爱好的我编写了一个自动化网马解码分析工具Redoce并坚持更新了6年,这段经历让我认识了许多志同道合的朋友,也让我掌握了许多病毒以及漏洞的分析技能。
2010年,我就读安徽理工大学信息安全专业,其间参阅了许多前辈的资料。2013年是我第一次尝试由分析转为漏洞挖掘,之后我便沉浸于此,并最终以一个契机加入腾讯QQ浏览器部门。在腾讯,我依然从事浏览器安全研究工作。
浏览器的用户量数以百万、千万甚至于亿计,这样一款处处都会接受用户输入的软件,一旦出现漏洞,产品口碑和用户的信息安全都会深受其害,这是所有产品相关人员和安全研究人员都不想看到的。在对浏览器代码和应用的安全审查和测试过程中,我也总结了许多浏览器安全的“坑”和补救措施,这些内容将在本书内详细叙述。
本书结构
对有兴趣致力于浏览器安全的研究者来说,不知从哪里入手是研究热情的一个拦路虎。我将日常的经验和历史上的浏览器安全事件结合,编写了本书的3篇共12章的内容。希望能够为浏览器安全研究爱好者提供一些参考。
第1篇 探索浏览器安全介绍了从浏览器的用户界面以及浏览器展示网页的整个过程,针对过程中可能出现的问题进行了探讨,详细地介绍了浏览器的特性以及基础安全概念。浏览器的漏洞挖掘和Fuzz工具密不可分,本篇中我们也将介绍Fuzzer的基本理念并制作出一个可用的Fuzzer。
本篇结合了Web安全与浏览器自身特性,就浏览器处理网页内容的原理及引发的安全问题展开讨论,希望能让读者对浏览器安全产生初步的印象,也打消从未涉及浏览器安全的读者的疑虑。
插件和扩展延伸了浏览器的功能,但是也带来了许多安全风险。
第2篇 实战网马与代码调试是过渡性的篇章,我们从插件和扩展安全说起,再通过几个网马的例子,将重点逐渐从Web向二进制调试转移。
插件部分将介绍逻辑漏洞的挖掘,以及在软件制作中规避风险的方法。网马部分则介绍恶意代码的混淆与加密方式,为恶意代码分析打好基础。代码调试部分则从二进制调试工具的用法开始,最后介绍Shellcode的调试。本章难度适中,希望能够带领读者探索浏览器中的二进制代码。
第3篇 深度探索浏览器漏洞对浏览器漏洞知识进行了更深入的挖掘和探讨。我们将从浏览器对网页元素的处理入手,分析网页元素在浏览器内存中创建时的过程并使用调试工具加以分析。我们还将从常见的漏洞入手,分析漏洞的成因并编写一个完整的浏览器漏洞利用程序。至此完成浏览器漏洞研究的最后一步。
编写历程
编写全书时工作繁忙,我每天只能够在业余时间抽出一至两个小时编写文章和调试代码。经历过后深知编写一本书的不易。在编写本书的过程中,我参考了大量资料。编写一本经验总结性质的书籍不仅仅是对自己过往的一个交待,更是为了促进对自己对浏览器认识的提高。如边超先生所言,通过将知识沉淀为文字,博文也好,书籍也好,都是一种重认识和再发现的过程。
在写一本介绍如此宽泛概念的书籍时,能够系统性地布局则是一大要事。在和乌云社区多个有兴趣研究浏览器安全的白帽子交流之后,最终我选择了本书这样一种先Web后底层深入的布局。但是,列大纲的时候我就发现,浏览器安全中每一部分都可以成为深入挖掘的方向,想在这一本薄薄的书中全部展现也是不切实际的。为了完整地涵盖安全的基础部分,本书挑选的更多是一些典型的例子,我希望通过这些典型例子起到抛砖引玉的作用——因为浏览器安全问题并不是单一因素引起的,更多的很可能是许多异常行为(也就是我们俗称的“BUG”)的组合。
相比于其他计算机科学相关的内容,浏览器安全研究的书籍资料并不多。但是互联网上仍然有许多专业研究人员提供了宝贵的数字资料,在遇到浏览器安全问题时,善用、勤用搜索引擎,是解决问题的一条捷径。
浏览器和浏览器标准的更新换代速度极快,在本书编写的过程中,就有许多新的浏览器标准和新的浏览器防御手段诞生。且本书编写时间仓促,又限于作者自身能力和水平的不足,书中不免会出现疏漏,烦请批评指正或留言宝贵意见。我提供了一个勘误表以及事件提单平台,本书的修订内容将在该平台上发布。平台的地址请见前言结尾的“联系方式”。
致谢
感谢我的公司腾讯科技有限公司和我的同事们,他们都愿意投入到浏览器中,以乐趣为出发点,在团队内部形成积极、友好讨论的氛围。
感谢边超先生为本书作序,边超先生在我开发和研究过程中细致耐心地提供了许多指导和帮助。
同时,也感谢边超、李普君、徐少培、张春雨等先生(排名不分先后)对本书章节布局的非常有建设性的建议。
协助本书内容审核的人员有:毛睿、关乃夫、丁川达、王连赢、李普君、周雨阳、梧桐雨(排名不分先后)等。毛睿先生是我在腾讯工作时的导师,感谢他为我提出了许多宝贵意见。
感谢我的家人,尤其是我的父母在编写本书的时候给予我的无尽的鼓励。
在编写本书时,同样受到了来自许多专家和前辈的指导和鼓励,无论列出与否,都由衷地感谢你们。
联系方式
邮箱:blastxiang@gmail.com
博客:http://nul.pw/
勘误表:http://nul.pw/issues.html
相关图书
最强iOS和macOS安全宝典
《最强iOS和macOS安全宝典》以苹果操作系统的安全为主题,主要面向苹果高级用户、系统管理员、安全研究人员和黑客。<br>本书主要分三个部分:第一部分重点介绍...
¥179.00
极限黑客攻防:CTF赛题揭秘
CTF在网络安全领域特指网络安全技术人员之间进行技术竞技的一种比赛。CTF代替了以往黑客通过互相发起真实攻击进行技术比拼的方式,题目来自日常工作环境,并将其中的...
¥99.00
大型互联网企业安全架构
本书全面阐述了新一代安全理论与安全架构,并结合作者自身经验层层剖析了包括Google 公司在内的各大互联网企业所应用的各种关键安全技术的原理及具体实现。全书分为...
¥55.30
Spring Security实战
Spring Security 是一个强大且高度可定制的安全框架,致力于为Java 应用提供身份认证和授权。 本书通过4 部分内容由浅入深地介绍了Spring...
加密与解密(第4版)
本书以软件逆向为切入点,讲述了软件安全领域相关的基础知识和技能。读者阅读本书后,很容易就能在逆向分析、漏洞分析、安全编程、病毒分析等领域进行扩展。这些知识点的相...
¥198.00