我怎么能仅仅通过查看网站或打开电子邮件就感染病毒
How can I can get a virus just by viewing a site or opening an email?
每个人都知道,有些网站只需看一眼就会损坏你的电脑,或者有些电子邮件可以向你所有的朋友发送邮件,或者只需阅读它们就可以收集你的信息。
这怎么可能?每个网站都是纯HTML、CSS和JS,不能对计算机进行任何永久性更改(除了cookie,但这不会伤害你,是吗?)所以我怎么会感染病毒?
如果我点击广告,我如何感染病毒?下载自动运行程序的链接?
这些事情是怎么做的?什么编程语言?
通常,这些向量的工作方式是利用用于读取/呈现HTML、CSS和JavaScript的软件中的缺陷。在一个拥有完美安全浏览器/电子邮件程序和完美沙盒的完美世界里,你说得对,仅仅查看页面或电子邮件就无法在你的计算机上加载病毒。但我们并不是生活在那个完美的世界里。
一个例子是"缓冲区溢出"漏洞:攻击者花费大量时间和精力来发现特定程序将某些资源(例如CSS光标)加载到缓冲区中,但未能检查资源是否足够小,可以放入缓冲区。因此,程序在缓冲区的末尾之外写入字节。缓冲区经常在堆栈上,因此覆盖它们可能会覆盖函数调用的返回地址等内容。如果您正确地处理数据,您可以将返回地址跳转到正在加载的资源的数据中的指令。在这一点上,所有的赌注都落空了,攻击者可以运行嵌入该资源中的任意机器代码。
其他向量涉及运行页面上JavaScript的沙盒中的漏洞。
大多数用户在浏览器中安装Adobe Acrobat、Shockwave Flash和Java等插件。如果插件过期,并且用户访问了带有针对特定漏洞的代码的恶意网站,则攻击者可能能够执行任意代码、获得对系统的特权访问、安装病毒(例如加入僵尸网络)等。
幸运的是,如今现代浏览器沙盒插件和谷歌等组织在爬行时检查恶意代码。
相关文章:
- 如果我在javascript中输入无效的电子邮件或空白,如何显示特定的文本框边框红色
- 使用angularjs验证文本框中的电子邮件
- 使用正则表达式评估电子邮件地址时出现性能问题
- javascript中添加验证电子邮件的问题
- 如何在收到电子邮件时自动调用脚本
- 获取屏幕截图并在电子邮件中发送的按钮
- 将项目履行与高级模板合并,并通过电子邮件发送至Netsuite 2.0
- php&js-将电子邮件添加到输入文本中
- 将用户制作的SVG(raphael.js)发送到服务器(php),以便通过电子邮件发送
- 以PDF附件的形式通过电子邮件发送谷歌文档
- 将Meteor中的base64 PDF作为电子邮件附件
- 来自现场目的的Meteor电子邮件.send()
- 根据部门用户的选择,接收来自多个电子邮件地址的Wordpress Contactform7查询
- Javascript/Ajax:通过点击按钮检查有效的电子邮件和电话号码
- 如果填写了特定值,则通过电子邮件发送电子表格中的数据
- 窗口提醒或类似内容中的电子邮件表单
- 通过phonegap中的电子邮件发送存储在html5 localStorage中的信息
- 电子邮件地址验证但创建帐户,即使电子邮件地址无效
- 使用节点JS发送电子邮件
- 我怎么能仅仅通过查看网站或打开电子邮件就感染病毒
