前些天和Roy厉在微博上聊到微信公众账号,我说我在辛苦运营“网站安全中心”这个账号呢,他说我这账号粉丝少是少了点,不过用户定位精确,我说我不希望精确,因为我在尽可能写科普,科普需要传播。

Roy厉说过两天他会在他的“戏里戏外”这个微信公众账号里帮我推推,这不,昨天推了下,就涨了很多粉。

这里特别感谢他下,也推荐大家收听这位有情怀的黑客的“戏里戏外”。

今天的话题也是顺着他的推荐而起的,他说到我玩XSS数一数二,奠定了之后的一些玩法。对他的说法,不敢当。

 

其实我是后起之秀,07年底才开始从PC安全专过来研究前端安全,不知道为什么我感觉前端安全会是一次浪潮。

XSS的很多玩法,我都写进我们的书里《Web前端黑客技术揭秘》,不过我曾经说过,我是带着痛苦写完书的,我的文笔本来还可以,可是痛苦+死板的出版语言,让我越来越没劲,就开始在很多地方几句话带过,或者贴段代码了事,最后在书开印的前几天,要求加上web2hack.org到书的开头,以准备之后弥补书中的一些不足。

认真看我们这本书的同学肯定会有大收获,半吊子的人将一点收获都没,我可以肯定的是书中的很多知识是非常有帮助的,不仅仅是Web前端,更重要的是思想。

我还牢骚几次,说由于一些敏感原因,很多东西并没往书里写,这些敏感的往往是一些黑产、灰产等的惯用手法,包括一些事件,没曝光天日。

 

08年的时候圈内在我看来一流的前端安全玩家有:

黑哥 - 幻影核心,目前在知道创宇,我们团队

剑心 - 80sec创始人,wooyun老大

茄子 - 80sec核心

luoluo - 幻影核心,80sec核心

刺 - 幻影核心,道哥黑板报

Monyer - xeye核心

这些人基本都是85后,除了我们这些暴露在外的人,还有一些是没暴露的人,就不说了。这些人奠定了前端的很多玩法,基本都是跨界、跨国玩耍的。

至于国外的当时一些牛人等以后说,web2hack.org上列出了些。08年开始我保持每天跟进国内外各种和前端安全有关的paper,也玩出了一些花样出来,然后就想总该留下点什么,这不,这本书就留下了……

 

在写书的过程中,也结交了当前我认为前端安全非常不错的玩家新力量(今年是2013年):

sogl - 曾经在我们团队,pkav核心

小雄 - 在我们团队,加速乐团队

pkav团队 - gainover,only_guest等,在wooyun上玩出了很多花样

redrain - 特立独行

 

这些人都是90后。

 

1. 有人用XSS做APT攻击;

2. 有人在成为JavaScript/Flash/浏览器之神,各种创新玩法;

3. 有人用XSS黑下名人微博;

4. 有人用XSS黑下各种公司(包括安全公司)的相关Web管理系统;

5. 有人在互联网各大处,种下盲打XSS的十字架,就等目标中招;

6. 有人用XSS大规模传播进行钓鱼;

7. 有人用XSS一招搞定目标用户身份;

8. 有人用XSS一招取下目标系统最高权限;

9. 有人用XSS一招取下目标用户操作系统权限;

10. 有人用XSS开点小玩笑;

11. 有人在研发相关工具来将挖掘XSS、利用XSS;

12. ...

Web已经是趋势,移动互联网已经是趋势,云已经是趋势,JavaScript/HTML5也成为了趋势,XSS浪潮早来了,现在追赶还来得及。

在我们团队,我亲自指导了一些人,可惜这些人热情了一会,就没了后续。还指导了相关工具的研发,不过这个成果让我欣慰。如果都半年了,XSS能力还是浮于表面,就不要玩了,让给上面那些新生代力量吧:)

Web前端安全的主角就是XSS,我曾经说过XSS如飞刀搬,杀人不见血,有的人在系统层面上玩,有的人在网络层面上玩,有的人在Web后端上玩,而在Web前端,XSS才是王道。

哪怕有多少人连XSS是什么都不知道;哪怕有多少人只知概念,从未实战;哪怕有多少人嘲讽XSS。XSS这只浏览器的鬼魂来了。

posted on 2014-03-27 14:14  milantgh  阅读(310)  评论(0编辑  收藏  举报