浏览器与安全监测的三两事.pdf

LOGO 浏览器与安全检测的三两事 安赛（AISec ）Linx 关于我  前百度网络安全研发工程师  目前为安赛科技技术总监  专注Web安全、恶意代码分析、大规模网站安全性监控 等领域 。 目录 1.为什么去研究浏览器 2.0DAY/崩溃日志和小工具 3.web2.0爬虫 目录 1.为什么研究浏览器 2. 0DAY/崩溃日志和小工具 3.web2.0爬虫 为什么研究浏览器 源自于挂马检测 开源：Webkit(chrome) gectko （firefox）? 封闭：IE? IE的优势 • 最接近被挂马的环境 IE的难度 * 要通过逆向去分析浏览器引擎 * 通过hook的方式获得浏览器控制权 为什么研究浏览器 一个艰难的决定：程序员or黑客？ 实现并不难： 挂马流程： (1)生成shellcode-(2)触发堆喷射，触发漏 洞（异常）-(3)执行命令获得系统控制权限 防御/检测方式： (1) Hook jscript.dll!ScrUnescape/COleScript::Compile 检测 shellcode (2) Hook jscript.dll!allocate/ConcatStrs 检测堆喷射 (3) R3和R0的沙箱 检测未知攻击 （非heapspray） 为什么研究浏览器 更多的收获：  有意思的崩溃日志- 0day  提高了crack的能力 目录 1.为什么和浏览器接触 2. 0DAY/崩溃日志和小工具 3.web2.0爬虫 崩溃日志 2013Pwnium黑客大赛 ，求Chome OS崩溃 而IE的崩溃很常见 崩溃日志 几十个Crash后自动生成的调试文件 看过一部分 有2个证实是0day： - 起因1：一个crash文件 (CVE-2010-3971) - 起因2：诡异的线程问题 (CVE-2012-0168) Crash demo 崩溃日志 几十个Crash后自动生成的调试文件 看过一部分 有2个证实是0day： - 起因1：一个crash文件(CVE-2010-3971) - 起因2：诡异的线程问题 (CVE-2012-0168) Crash demo 崩溃日志 几十个Crash后自动生成的调试文件 有2个证实是0day： - 起因1：crash文件 - 起因2：诡异的线程+出错问题 某个网站调用了： script Window.print() 带来的模态对话框和新线程 这个线程是admin/本地权限 收获-oday ？ 几十个Crash后自动生成的调试文件 有2个证实是0day： - 起因1：crash文件 - 起因2：诡异的线程问题 IE8 Crash中的一个(至今未修复) 检测/go.html的时候被 发现 收获-oday ？  几十个Crash后自动生成的调试文件  有2个证实是0