今天给大家推荐一本关于JavaScript的新书:《JavaScript for hackers》。
JavaScript是当今世界上最流行的编程语言,成千上万的开发者用它来编写各种应用。它更是web世界的当家语言,是浏览器中的主角。我们平时大都是用它来构建应用,那么从黑客的角度来看,怎样能用它来开黑呢,这本书就讲述了黑客是怎样使用JavaScript的。
内容简介:
“了解如何在JavaScript中找到有趣的行为和缺陷。阅读这本书,你会发现黑客JavaScript和生成XSS有效载荷的最新和最伟大的技术。包括仅使用+[]()构建JavaScript的方法!角色。从未听说过DOM Clobbering?这本书有所有的细节。”
“你有没有想过黑客是如何找到浏览器和JavaScript缺陷的?这本书分享了思维过程,并为您提供了寻找自己缺陷的工具。它分享了JavaScript黑客的基础知识,然后深入并解释了如何构建不使用括号的JavaScript有效负载。
展示如何通过模糊找到缺陷,以及如何在几秒钟内快速模糊数百万个字符。
想破解DOM吗?这本书涵盖了你。
阅读作者详细发现的各种浏览器SOP绕过。
不知道客户端原型污染吗?这是给你的书!
想学习最新和最伟大的XSS技术吗?你需要买这本书。”
关于作者:
“PortSwigger研究员Gareth Heyes可能以逃离JavaScript沙盒和创建超级优雅的XSS矢量而闻名。在业余时间,他喜欢用纯CSS创建交互式3D房间和游戏,并且经常可以在他的网站garethheyes.co.uk上发布有关它并进行实验。Gareth是两个好女孩的父亲,也是一位了不起的妻子的丈夫,也是利物浦足球俱乐部的忠实粉丝。
在PortSwigger的日常生活中,Gareth经常被发现创建新的XSS矢量,研究攻击网络应用程序的新技术,并准备在全球各地的会议上发言。最近的一个亮点是他在2023年OWASP Global AppSec Dublin的演讲“服务器端原型污染:没有DoS的黑盒检测”。他也是PortSwigger的XSS Cheat Sheet的作者。在业余时间,他喜欢编写新的BApp扩展(他是Hackvertor和Taborator的创造者)。”
章节目录:
1:第一章-简介
1.1:环境
1.2:设定一个目标
1.3:模糊
1.4:坚持和运气
1.5:社交媒体
1.6:基础知识
1.7:摘要
2:第二章-不带括号的JavaScript
2.1:不带括号的调用函数
2.2:用不带括号的参数调用函数
2.3:投掷表情
2.4:标记模板
2.5:有实例符号
2.6:摘要
3:第三章 - Fuzzing
3.1:真相
3.2:模糊JavaScript URL
3.3:模糊HTTP URL
3.4:模糊HTML
3.5:模糊已知行为
3.6:模糊的逃生
3.7:摘要
4:第四章 - 黑客的DOM
4.1:我的窗户在哪里?
4.2:HTML事件的范围
4.3:DOM clobbering
4.4:摘要
5:第五章-浏览器漏洞
5.1:导言
5.2:Firefox对跨来源URL的处理不正确
5.3:Safari分配给跨源主机名
5.4:Internet Explorer完全绕过SOP
5.5:Chrome部分SOP信息泄漏
5.6:Safari全SOP旁路
5.7:操作SOP旁路
5.8:摘要
6:第六章-原型污染
6.1:简介
6.2:客户端原型污染
6.3:服务器端原型污染
6.4:摘要
7:第七章-非字母数字JavaScript
7.1:编写非字母数字JavaScript
7.2:无括号的非alpha
7.3:六个字符墙
7.4:无限及更远
7.5:摘要
8:第八章-XSS
8.1:关闭脚本
8.2:脚本内的评论
8.3:SVG脚本中的HTML实体
8.4:没有关闭脚本的脚本
8.5:窗口名称有效载荷
8.6:可分配协议
8.7:创建pingback的源地图
8.8:新的重定向水槽
8.9:JavaScript评论
8.10:新线路
8.11:空白
8.12:动态进口
8.13:XML中的XHTML命名空间
8.14:SVG上传
8.15:SVG使用元素
8.16:HTML实体
8.17:事件
8.18:隐藏输入中的XSS
8.19:流行音乐
8.20:摘要
9:信用
欢迎关注微信公众号:文本魔术,了解更多。