[PRE]CSRF攻擊-進擊的巨人
計劃準備出一個PPT專門講解CSRF里的各種奇技淫巧,除了那些老套的手法之外:
https://github.com/evilcos/papers
n我公布的Papers里有個PPT是《CSRF攻擊-蘇醒的巨人》,可以參考。
還包括以前提的Flash CSRF/XSF等方式,細節可以溫習去年我的Paper(隱蔽的戰場—Flash Web攻擊),希望Flash是日不落帝國,雖然現在快日落了,但是不影響我們的最後掙扎。
除了這些,當然會有新的玩意,比如JSON Hijacking就一直在進化。還有去年很火的WormHole,這是JSON Hijacking本地攻擊的一種延伸,點擊下這個試試:
http://evilcos.me/lab/pac.html
探測你本地是否用Shadowsocks,當然你即使用了也不一定會彈,畢竟我測試的埠僅僅是默認的8788(如果你不是這個埠,你可以改為這個埠試試)。
以前我說過:玩CSRF,最爽的是結合了Flash,無聲無息…
最近在做路由器安全研究,以及昨晚做了個新型蠕蟲的測試:
給我帶來的結論是:Flash,你可以安息了,感謝HTML5,以後玩CSRF同樣可以很優雅。
我為什麼Demo這隻蠕蟲?因為這確實是個影響會很深遠的安全問題。
在我過去兩年做的《程序員與黑客》第一季與第二季的演講,裡面有個核心點就是:程序員與黑客思維的差異,導致一些類型的安全問題可以成為經久不衰的存在,甚至會隨著程序員的進化而不斷演變。比如HTML5/ES6這些前端玩意的風靡,必然會帶來許多「超能力」的濫用,畢竟能成為黑客的程序員少之又少,對抗博弈一直微妙地存在。
按照這種思維以及我最近的一些實戰,CSP的存在(以及HTTP那些安全的X-擴展協議頭)不會是前端黑的噩夢。我們最大的敵人是我們自己,偉大領袖也說過這句話:-)
推薦閱讀:
※怎麼評價360Vulcan Team成Pwn2Own史上首個攻破IE的亞洲團隊?
※作為安全工作者,你遇到過哪些功能上好玩有趣強大的木馬?
※一般密碼10個數字和26個字母組合如果我或有關重要部門造了50新字母,黑客鍵盤上沒有這些字母如何破解?
※技術水平達到什麼程度才敢稱自己是黑客?
※電影中黑客僅僅通過一台電腦,就可以控制大廈的電路,可以做到嗎?