JavaScript版盗梦空间防不胜防的原因是什么?

安全
我们今天主要向大家讲述的防不胜防的JavaScript版盗梦空间,以下的文章是由影片《盗梦空间》来引出JavaScript版盗梦空间的相关内容。

以下的文章主要讲述的是防不胜防的JavaScript版盗梦空间,影片《盗梦空间》主要讲述的是一个心理骇客入侵催眠者的梦境,把存在记忆中的宝贵信息偷走的一个过程,甚至植入“记忆木马”,当然,后者需要“汇编级”的操作,一不小心,就会导致双方大脑“宕机”。

影片《盗梦空间》告诉我们一个心理骇客如何入侵催眠者的梦境,偷走只存在于记忆中的宝贵信息,甚至植入“记忆木马”,当然,后者需要“汇编级”的操作,一不小心,就会导致双方大脑“宕机”。而且,为了让木马不发生排异反应,心理骇客需要精心设计,连环布局并深入三重梦境,才能突破“梦主”的理性防线,对于今天的网络黑客来说,从戒备森严,装备防尘罩、高压电和报警器的笼子里抓获我们这些“肉鸡”,需要的手段之精妙巧诈,丝毫不输于《盗梦空间》…

作者:趋势科技资深网络威胁研究员 David Sancho 编译:Mirko Liu

今天,一封身手了得的垃圾邮件突破重重过滤,在我的收件箱里“触地得分”。

标题下面的信息只有短短的一句话和一条缩写的超链接(类似新浪微博上的URL缩写格式)。句子是西班牙语写成的,垃圾邮件过滤器对此显然颇为头大。这是这封垃圾邮件第一个值得称道的战术——简洁。我的老师们曾强调过,简洁总是强过冗长。显然老师们是无比正确的,虽然他们讨论的并非垃圾邮件。

接下来,缩写URL形式对用户造成的眩晕显然还不是这封信的主要目的,问题在于,这条缩写URL指向的是博客空间站blogspot。众所周知,Blogspot是一家免费的博客空间服务商,但经常被垃圾邮件制造者用来做“跳板”将流量导向真正的垃圾终点站,例如那些贩卖假劳力士的网站。也许大家会问,垃圾邮件制造者怎么能操纵Blogspot成为其跳板的?经过该blogspot博客网页HTML代码的快速分析,不难发现背后的网络罪犯是个善用JavaScript的高手。

防不胜防的JavaScript版盗梦空间

图一:垃圾邮件样本

防不胜防的JavaScript版盗梦空间

图二:垃圾邮件的最终目的地网站(卖假表假包的网站)

问题的根源在于,Blogspot允许用户在他们的博客中插入Javascript代码!这相当于对入侵者发出了邀请函。

这件事告诉我们一个基本事实,坏蛋们能通过多重手法扰乱防御系统,并从漏洞中闪身而入,予取予求。同时也再次说明了JavaScript的强大,尤其是在坏人手中,能迸发出极大的破坏力。这再次给我敲响警钟,不要在个人通讯工具中启用JavaScript。潜在的危险还不仅与此,随着跨站脚本(Cross-site scripting),跨站请求假冒(Cross-site request forgery),以及其他基于JavaScript的web欺诈技术不断成熟,BlogSpot以及其他类似的web2.0网站应当尽快关闭JavaScript植入功能。

以上的相关内容就是对防不胜防的JavaScript版盗梦空间的介绍,望你能有所收获。

 

 

责任编辑:佚名 来源: eNet硅谷动力
相关推荐

2017-01-16 09:20:32

2013-05-13 13:53:51

2024-09-10 15:11:12

2010-10-29 23:46:20

VMware云计算

2021-09-13 15:35:14

戴尔

2016-11-04 20:45:07

2009-03-24 13:37:03

2021-06-15 10:41:00

数据中毒机器学习网络攻击

2011-06-28 14:03:06

2020-05-06 08:01:39

黑客恶意攻击网络安全

2012-12-09 17:46:27

2014-11-24 09:13:38

2013-04-07 15:51:41

2017-09-11 16:24:47

2009-04-27 14:42:03

2022-06-22 11:09:21

网络钓鱼网络攻击

2021-10-20 11:52:49

ATM机AI密码

2018-09-21 11:55:09

2017-03-30 23:06:36

2020-08-21 09:44:48

Python开发工具
点赞
收藏

51CTO技术栈公众号