XSS之浪潮已经来临

前些天和Roy厉在微博上聊到微信公众账号，我说我在辛苦运营“网站安全中心”这个账号呢，他说我这账号粉丝少是少了点，不过用户定位精确，我说我不希望精确，因为我在尽可能写科普，科普需要传播。

Roy厉说过两天他会在他的“戏里戏外”这个微信公众账号里帮我推推，这不，昨天推了下，就涨了很多粉。

这里特别感谢他下，也推荐大家收听这位有情怀的黑客的“戏里戏外”。

今天的话题也是顺着他的推荐而起的，他说到我玩XSS数一数二，奠定了之后的一些玩法。对他的说法，不敢当。

书

其实我是后起之秀，07年底才开始从PC安全专过来研究前端安全，不知道为什么我感觉前端安全会是一次浪潮。

XSS的很多玩法，我都写进我们的书里《Web前端黑客技术揭秘》，不过我曾经说过，我是带着痛苦写完书的，我的文笔本来还可以，可是痛苦+死板的出版语言，让我越来越没劲，就开始在很多地方几句话带过，或者贴段代码了事，最后在书开印的前几天，要求加上web2hack.org到书的开头，以准备之后弥补书中的一些不足。

认真看我们这本书的同学肯定会有大收获，半吊子的人将一点收获都没，我可以肯定的是书中的很多知识是非常有帮助的，不仅仅是Web前端，更重要的是思想。

我还牢骚几次，说由于一些敏感原因，很多东西并没往书里写，这些敏感的往往是一些黑产、灰产等的惯用手法，包括一些事件，没曝光天日。

人

08年的时候圈内在我看来一流的前端安全玩家有：

黑哥 - 幻影核心，目前在知道创宇，我们团队

剑心 - 80sec创始人，wooyun老大

茄子 - 80sec核心

luoluo - 幻影核心，80sec核心

刺 - 幻影核心，道哥黑板报

Monyer - xeye核心

这些人基本都是85后，除了我们这些暴露在外的人，还有一些是没暴露的人，就不说了。这些人奠定了前端的很多玩法，基本都是跨界、跨国玩耍的。

至于国外的当时一些牛人等以后说，web2hack.org上列出了些。08年开始我保持每天跟进国内外各种和前端安全有关的paper，也玩出了一些花样出来，然后就想总该留下点什么，这不，这本书就留下了……

在写书的过程中，也结交了当前我认为前端安全非常不错的玩家新力量（今年是2013年）：

sogl - 曾经在我们团队，pkav核心

小雄 - 在我们团队，加速乐团队

pkav团队 - gainover，only_guest等，在wooyun上玩出了很多花样

redrain - 特立独行

这些人都是90后。

事

1. 有人用XSS做APT攻击；

2. 有人在成为JavaScript/Flash/浏览器之神，各种创新玩法；

3. 有人用XSS黑下名人微博；

4. 有人用XSS黑下各种公司（包括安全公司）的相关Web管理系统；

5. 有人在互联网各大处，种下盲打XSS的十字架，就等目标中招；

6. 有人用XSS大规模传播进行钓鱼；

7. 有人用XSS一招搞定目标用户身份；

8. 有人用XSS一招取下目标系统最高权限；

9. 有人用XSS一招取下目标用户操作系统权限；

10. 有人用XSS开点小玩笑；

11. 有人在研发相关工具来将挖掘XSS、利用XSS；

12. ...

Web已经是趋势，移动互联网已经是趋势，云已经是趋势，JavaScript/HTML5也成为了趋势，XSS浪潮早来了，现在追赶还来得及。

在我们团队，我亲自指导了一些人，可惜这些人热情了一会，就没了后续。还指导了相关工具的研发，不过这个成果让我欣慰。如果都半年了，XSS能力还是浮于表面，就不要玩了，让给上面那些新生代力量吧:)

Web前端安全的主角就是XSS，我曾经说过XSS如飞刀搬，杀人不见血，有的人在系统层面上玩，有的人在网络层面上玩，有的人在Web后端上玩，而在Web前端，XSS才是王道。

哪怕有多少人连XSS是什么都不知道；哪怕有多少人只知概念，从未实战；哪怕有多少人嘲讽XSS。XSS这只浏览器的鬼魂来了。