|
|
|
瀏覽器是重要的互聯網入口,一旦受到漏洞攻擊,將直接影響到用戶的信息安全。作為攻擊者有哪些攻擊思路,作為用戶有哪些應對手段?在本書中我們將給出解答,帶你了解瀏覽器安全的方方面面。
本書兼顧攻擊者、研究者和使用者三個場景,對大部分攻擊都提供了分析思路和防御方案。本書從攻擊者常用技巧的「表象」深入介紹瀏覽器的具體實現方式,讓你在知其然的情況下也知其所以然。
錢文祥(常用ID:blast),專職瀏覽器安全研究。安徽理工大學畢業后就職於騰訊科技(北京)有限公司,專注於PC瀏覽器安全研究和安全相關功能的開發。活躍於多個漏洞報告平台,曾報告過數十個安全漏洞,涵蓋IE、Chrome及國產定制瀏覽器。參與過多個瀏覽器安全相關以及漏洞挖掘的項目,維護有網馬解密工具Redoce。
第1篇初探瀏覽器安全1
1漏洞與瀏覽器安全3
1.1漏洞的三要素3
1.2漏洞的生命周期4
1.3瀏覽器安全概述5
1.4瀏覽器安全的現狀7
1.5瀏覽器的應對策略9
1.6「白帽子」與瀏覽器廠商的聯手協作9
1.7全書概覽10
1.8本章小結12
2瀏覽器中常見的安全概念13
2.1URL13
2.1.1URL的標准形式15
2.1.2IRI16
2.1.3URL的「可視化」問題——字形欺騙釣魚攻擊18
2.1.4國際化域名字形欺騙攻擊19
2.1.5自糾錯與Unicode字符分解映射20
2.1.6登錄信息釣魚攻擊23
2.2HTTP協議24
2.2.1HTTPHEADER25
2.2.2發起HTTP請求26
2.2.3Cookie28
2.2.4收到響應29
2.2.5HTTP協議自身的安全問題31
2.2.6注入響應頭:CRLF攻擊31
2.2.7攻擊響應:HTTP401釣魚32
2.3瀏覽器信息安全的保障33
2.3.1源33
2.3.2同源准則34
2.3.3源的特殊處理34
2.3.4攻擊同源准則:IE11跨任意域腳本注入一例35
2.4特殊區域的安全限制37
2.4.1安全域37
2.4.2本地域37
2.5偽協議38
2.5.1data偽協議38
2.5.2about偽協議40
2.5.3javascript/vbscript偽協議41
2.5.4偽協議邏輯出錯:某瀏覽器跨任意域腳本注入一例42
2.6本章小結43
3探索瀏覽器的導航過程45
3.1導航開始45
3.1.1瀏覽器的導航過程46
3.1.2DNS請求46
3.1.3DNS劫持和DNS污染47
3.1.4導航尚未開始時的狀態同步問題48
3.1.5實例:針對導航過程發起攻擊49
3.2建立安全連接50
3.2.1HTTPS50
3.2.2HTTPS請求中的Cookie51
3.3響應數據的安全檢查——XSS過濾器52
3.3.1IE XSS Filter的實現原理53
3.3.2Chrome XSS Auditor的工作原理55
3.4文檔的預處理56
3.4.1瀏覽器對HTML文檔的標准化56
3.4.2設置兼容模式57
3.5處理腳本59
3.5.1腳本的編碼60
3.5.2IE的CSS expression的各種編碼模式62
3.5.3瀏覽器的應對策略:CSP63
3.5.4「繞過」CSP:MIMESniff65
3.5.5簡單的Fuzz:混淆CSS expression表達式68
3.6攻擊HTML標准化過程繞過IE/Chrome的XSS Filter71
3.7本章小結73
4頁面顯示時的安全問題75
4.1點擊劫持76
4.1.1點擊劫持頁面的構造76
4.1.2X—Frame—Options78
4.2HTML5的安全問題80
4.2.1存儲API81
4.2.2跨域資源共享83
4.2.3基於FullScreen和Notification API的新型釣魚攻擊84
4.2.4組合API后可能導致的安全問題87
4.2.5引入新的XSS攻擊向量87
4.2.6互聯網威脅89
4.3HTTPS與中間人攻擊92
4.3.1HTTPS的綠鎖92
4.3.2HTTPS有多安全?94
4.3.3HSTS96
4.3.4使用SSLStrip阻止HTTP升級HTTPS97
4.3.5使用Fiddler對PC端快速進行中間人攻擊測試99
4.3.6使用Fiddler腳本和AutoResponse自動發起中間人攻擊101
4.4本章小結103
5瀏覽器擴展與插件的安全問題105
5.1插件106
5.1.1ActiveX106
5.1.2ActiveX的安全問題107
5.1.3ActiveX的邏輯漏洞108
5.1.4NPAPI、PPAPI111
5.2定制瀏覽器的擴展和插件的漏洞113
5.2.1特權API暴露114
5.2.2DOM修改引入攻擊向量114
5.2.3Windows文件名相關的多個問題115
5.2.4NPAPI DLL的問題116
5.2.5同源檢查不完善117
5.2.6Content Script劫持118
5.2.7權限隔離失敗118
5.2.8配合切核策略+本地內部頁XSS執行代碼118
5.2.9下載服務器限制寬松119
5.2.10TLDs判定問題119
5.2.11經典漏洞120
5.2.12中間人120
5.3Adobe Flash插件與Action Script121
5.3.1Flash的語言——Action Script121
5.3.2Flash文檔的反編譯、再編譯與調試122
5.3.3SWF的網絡交互:URLLoader124
5.3.4crossdomain.xml與Flash的「沙盒」125
5.3.5ExternalInterface126
5.3.6FLASH XSS126
5.3.7Microsoft Edge中的Flash ActiveX130
5.4瀏覽器的沙盒131
5.4.1受限令牌132
5.4.2完整性級別與IE的保護模式133
5.4.3任務對象134
5.5本章小結135
6移動端的瀏覽器安全137
6.1移動瀏覽器的安全狀況138
6.2移動端的威脅141
6.2.1通用跨站腳本攻擊141
6.2.2地址欄偽造142
6.2.3界面偽裝143
6.3結合系統特性進行攻擊144
6.3.1Android一例漏洞:使用Intent URL Scheme繞過Chrome SOP144
6.3.2iOS的一例漏洞:自動撥號泄露隱私146
6.3.3Windows Phone一例未修補漏洞:利用Cortana顯示IE中已保存密碼147
6.4本章小結149
第2篇實戰網馬與代碼調試
7實戰瀏覽器惡意網頁分析153
7.1惡意網站中「看得見的」攻防153
7.2惡意腳本的抓取和分析155
7.2.1發現含攻擊代碼的網址156
7.2.2使用rDNS擴大搜索結果156
7.2.3下載攻擊代碼157
7.2.4搭建測試環境158
7.2.5初識網馬反混淆工具158
7.2.6惡意腳本中常見的編碼方式159
7.3一個簡單的掛馬代碼的處理169
7.3.1快速判斷掛馬169
7.3.2JS代碼的格式化170
7.4更為復雜的代碼處理:對Angler網馬工具包的反混淆170
7.4.1Angler EK的特征170
7.4.2推理:找出代碼中的「解密—執行」模式172
7.4.3檢證:確定「解密—執行」模式的位置和方法175
7.4.4追蹤:使用瀏覽器特性判斷用戶環境179
7.4.5利用漏洞CVE—2014—6332發起攻擊188
7.5本章小結190
8調試工具與Shellcode191
8.1調試工具的用法191
8.1.1調試符號191
8.1.2WinDbg的用法192
8.1.3IDA的用法195
8.1.4OllyDbg的用法199
8.2與Shellcode的相關名詞201
8.2.1機器指令201
8.2.2控制關鍵內存地址203
8.2.3NOP Slide204
8.2.4Magic Number 0x8123205
8.3Shellcode的處理205
8.3.1實現通用的Shellcode206
8.3.2調試網馬中的Shellcode212
8.4本章小結218
第3篇深度探索瀏覽器漏洞
9漏洞的挖掘221
9.1挖0day221
9.1.1ActiveX Fuzzer的原理221
9.1.2使用AxMan Fuzzer來Fuzz ActiveX插件222
9.1.3現場復現225
9.2DOM Fuzzer的搭建229
9.2.1搭建運行Grinder的環境230
9.2.2Fuzzer的結構與修改231
9.2.3現場復現232
9.3崩潰分析233
9.3.1哪些典型崩潰不能稱作瀏覽器漏洞233
9.3.2ActiveX崩潰一例236
9.3.3IE11崩潰一例238
9.4本章小結244
10網頁的渲染245
10.1網頁的渲染245
10.1.1渲染引擎245
10.1.2DOM結構模型247
10.1.3IE解析HTML的過程249
10.1.4IE的Tokenize251
10.1.5Chrome解析HTML的過程253
10.1.6Chrome的Tokenize254
10.2元素的創建256
10.2.1IE中元素的創建過程256
10.2.2Chrome中元素的創建過程257
10.2.3元素的生成規律258
10.3實戰:使用WinDbg跟蹤元素的生成260
10.4實戰:使用WinDbg跟蹤元素的插入263
10.5實戰:使用WinDbg跟蹤元素的釋放264
10.6本章小結266
11漏洞的分析267
11.1分析IE漏洞CVE—2012—4969267
11.1.1崩潰分析268
11.1.2追根溯源270
11.2分析JScript9漏洞CVE—2015—2425271
11.2.1跟蹤漏洞275
11.3Hacking Team的Flash漏洞CVE—2015—5119分析276
11.3.1靜態閱讀:成因分析276
11.3.2Vector的覆蓋過程278
11.4本章小結279
12漏洞的利用281
12.1ShellCode的編寫281
12.2CVE—2012—4969的利用284
12.2.1DEP/ASLR繞過287
12.3CVE—2015—5119的Vector296
12.4本章小結301
附錄303
附錄AIE(Edge)的URL截斷303
附錄BIE的控制台截斷304
附錄C表單中的mailto:外部協議305
附錄D危險的regedit:外部協議306
附錄EIE XSS Filter的漏洞也會幫助執行XSS307
附錄F更高級的策略保護——CSP Level2308
附錄G更快的執行速度——JScript5 to Chakra309
附錄HChakra的整數存儲310
附錄I安全實踐311
參考資料315
