中文版推荐序

中文版推荐序

浏览器作为用户访问互联网的入口,其安全性至关重要。用户在浏览器中的任何一次不经意的点击,都可以成为噩梦的开始。攻击者利用浏览器的一些漏洞,仅需要用户点击一个链接:轻者可以窃取用户的cookie及身份信息,获得用户浏览记录等隐私;重者则导致用户电脑上的文件被窃取、篡改,甚至用户电脑会被安装后门,最终沦为攻击者的“囊中之物”。浏览器承载着万物互连和分享协作,因而保障浏览器的安全越来越重要。

今天,各家浏览器的发展如火如荼,特别是新的安全特性也层出不穷。比如,数据执行保护(DEP)、内存地址随机化(ASLR)、沙箱、隔离堆、延时释放、控制流防护(CFG)等,诸多安全特性的出现与应用折射出浏览器已然成为攻击者的目标。“道高一尺,魔高一丈”,新的安全特性必然会导致新的攻击方法的出现,只是攻击的难度和成本会越来越大,对攻击者技术的要求也越来越高。

未知攻,焉知防?本书是业界公认的最流行的浏览器利用工具BeEF的作者Wade等人结合自己亲身实践经验鼎力创作的,系统地介绍了浏览器的攻防技术。全书以BeFF工具为基础,将浏览器攻防分为初始化、持久化和攻击三大阶段,并在攻击阶段中从用户、浏览器核心、扩展、插件、Web应用和网络等多个方面去细化。全书一共分七个大类讲浏览器攻击方法:初始化、持久化、攻击用户和攻击浏览器、攻击扩展、攻击插件、攻击Web应用和攻击网络。每一章基本按攻击方法划分,作者对安全攻防的归类组织结构做到了一页不差,相关的技术点叙述得很清晰、很全面,并有基于BeEF等工具的实际演示,读者能很快理解和上手。很多技术点能从原理上阐述清楚,这很难能可贵。同时,攻击手段上的很多“奇技淫巧”深受广大黑客的喜爱。对爱好浏览器安全并打算详细了解和学习相关专业知识的人来说,这本书是最好不过的选择。本书是迄今为止介绍浏览器攻防实战的最详细之作。

最后特别感谢团队leader张鲁和团队成员为本书审校付出的心血!

 

奇虎360信息安全部 0KEE TEAM

李响

2016年8月

目录