以下的文章主要讲述的是防不胜防的JavaScript版盗梦空间,影片《盗梦空间》主要讲述的是一个心理骇客入侵催眠者的梦境,把存在记忆中的宝贵信息偷走的一个过程,甚至植入“记忆木马”,当然,后者需要“汇编级”的操作,一不小心,就会导致双方大脑“宕机”。
影片《盗梦空间》告诉我们一个心理骇客如何入侵催眠者的梦境,偷走只存在于记忆中的宝贵信息,甚至植入“记忆木马”,当然,后者需要“汇编级”的操作,一不小心,就会导致双方大脑“宕机”。而且,为了让木马不发生排异反应,心理骇客需要精心设计,连环布局并深入三重梦境,才能突破“梦主”的理性防线,对于今天的网络黑客来说,从戒备森严,装备防尘罩、高压电和报警器的笼子里抓获我们这些“肉鸡”,需要的手段之精妙巧诈,丝毫不输于《盗梦空间》…
作者:趋势科技资深网络威胁研究员 David Sancho 编译:Mirko Liu
今天,一封身手了得的垃圾邮件突破重重过滤,在我的收件箱里“触地得分”。
标题下面的信息只有短短的一句话和一条缩写的超链接(类似新浪微博上的URL缩写格式)。句子是西班牙语写成的,垃圾邮件过滤器对此显然颇为头大。这是这封垃圾邮件第一个值得称道的战术——简洁。我的老师们曾强调过,简洁总是强过冗长。显然老师们是无比正确的,虽然他们讨论的并非垃圾邮件。
接下来,缩写URL形式对用户造成的眩晕显然还不是这封信的主要目的,问题在于,这条缩写URL指向的是博客空间站blogspot。众所周知,Blogspot是一家免费的博客空间服务商,但经常被垃圾邮件制造者用来做“跳板”将流量导向真正的垃圾终点站,例如那些贩卖假劳力士的网站。也许大家会问,垃圾邮件制造者怎么能操纵Blogspot成为其跳板的?经过该blogspot博客网页HTML代码的快速分析,不难发现背后的网络罪犯是个善用JavaScript的高手。
图一:垃圾邮件样本
图二:垃圾邮件的最终目的地网站(卖假表假包的网站)
问题的根源在于,Blogspot允许用户在他们的博客中插入Javascript代码!这相当于对入侵者发出了邀请函。
这件事告诉我们一个基本事实,坏蛋们能通过多重手法扰乱防御系统,并从漏洞中闪身而入,予取予求。同时也再次说明了JavaScript的强大,尤其是在坏人手中,能迸发出极大的破坏力。这再次给我敲响警钟,不要在个人通讯工具中启用JavaScript。潜在的危险还不仅与此,随着跨站脚本(Cross-site scripting),跨站请求假冒(Cross-site request forgery),以及其他基于JavaScript的web欺诈技术不断成熟,BlogSpot以及其他类似的web2.0网站应当尽快关闭JavaScript植入功能。
以上的相关内容就是对防不胜防的JavaScript版盗梦空间的介绍,望你能有所收获。
