这是一个创建于 1429 天前的主题,其中的信息可能已经有所发展或是发生改变。
有时候工作中收到一些带有链接的可疑邮件,我一般会提醒同事收到可疑的邮件不要点开里面的链接。作为一个业余开发者,今天忽然想认真研究下,到底单纯打开个网址,会不会造成中毒或者中木马?使用的设备包括 PC 和手机( iOS 和安卓)。我目前偶尔会开发一些 chrome 插件(未打包的那种),给公司内部使用,但对 JavaScript 和 chrome 浏览器的知识还算很浅。先行谢过!
 |
1
ysc3839 2020-12-17 14:09:45 +08:00
论可能性的话那当然是可能的,浏览器有可能存在漏洞。
|
|
2
ysc3839 2020-12-17 14:12:26 +08:00  1
举个典型的例子,运行 iOS 9.1 - 9.3.4 的 32 位设备可以通过网页来越狱 http://www.jailbreak.me/
|
 |
3
FlyingShark 2020-12-17 14:19:01 +08:00
SVG 还有 PDF 相关的漏洞是有的,微信 webview 也出过漏洞
|
 |
4
LiYanHong 2020-12-17 14:20:51 +08:00 1
楼主没经历过 ie6 年代吗
不过现代浏览器除了第三方插件和本身的漏洞,中毒可能性很小 |
 |
5
CrazyBoyFeng 2020-12-17 14:30:39 +08:00 2
一般情况下,除非使用的是 ie 这种古代浏览器,现代浏览器都是沙箱环境,javascript 接触不到本地文件。
|
 |
6
czfy 2020-12-17 14:41:46 +08:00 1
如果浏览网页不会中木马或者病毒,以前的木马或病毒都怎么传播?
U 盘传播那也得你插上的电脑已经中毒,最开始肯定是通过网络传播的啊.. 只是现在不像以前,木马 /病毒少见了,不过最近最有名的当属勒索病毒 |
 |
7
WeaPoon 2020-12-17 14:48:32 +08:00 1
会,只是现在可能性比较低,除非发现重大漏洞。以前网马可是很盛行的,下载 exe 和执行,有能利用的 0day 就等于看到了钱。
|
 |
8
cmdOptionKana 2020-12-17 14:53:35 +08:00
有可能,但可能性极低,低到可以忽略。
打个比喻,过马路(即使遵守交通规则并很小心)有可能被车撞吗,有,但绝大多数情况下我们在实践中都忽略这个极低的可能性,当作不会被撞来处理就行了。 |
 |
9
interim 2020-12-17 15:06:42 +08:00 1
Chromium 有沙箱机制,还是以最低权限运行的,macos 还有一层应用沙箱,突破沙箱还要提权...除非有 0 day
大规模使用 0 day 在普通人身上并不值,我认为普通人几乎没有可能遇到。 |
 |
10
cmostuor 2020-12-17 15:20:39 +08:00
@chnyuwen 在普通的人能用得起电脑的家庭在怎么着家里都是有点储蓄的 而且把不是很多人都会有安全意识也很容易被欺骗 就程序员里有安全意识的都没多少何况什么技术都不懂的普通人。。。省去一堆巴拉巴拉的废话 在安全的机制或软件都抵不过一个愚蠢的人做的不安全的操作
|
 |
11
ifxo 2020-12-17 15:24:21 +08:00 1
现在只要用最新的浏览器,就不可能中毒,打开网页只可能被钓鱼
|
 |
12
lixuda 2020-12-17 15:52:36 +08:00 1
应该防的是打开网页后的操作,钓鱼,打开了下载文件等等
|
 |
13
sudoy OP 谢谢各位回复!总结下就是,用现代的浏览器浏览网页中毒和木马可能性极低,倒是被钓鱼的可能性更大些。
|
|
14
sudoy OP @czfy 我认为那是会下载文件(比如可执行文件)到本地电脑,诱导点击以后中毒的吧,单单浏览网页没有下载任何东西到本地的情况下,应该还是很难中毒的。
|
|
15
czfy 2020-12-17 15:59:53 +08:00 1
@sudoy 浏览行为本身就可以带来“下载”和感染,因为浏览本身就是本地电脑和服务器数据交换的过程,网站挂马也是访问即感染,不存在主动可感知的下载
|
 |
16
wysnylc 2020-12-17 16:07:07 +08:00 1
以前有,现在少
|
|
17
FlyingShark 2020-12-17 16:26:00 +08:00 1
@sudoy 会的,不需要下载,现代浏览器依然存在浏览即执行恶意代码的情况,浏览器有解析漏洞,再配合沙箱逃逸 0day 漏洞,可以实现提权。 不过你放心,现在已经很少了,用户只要及时升级浏览器即可。
|
|
18
sudoy OP @czfy 访问即感染!听起来挺可怕的,不过我还是不大明白。老的 IE 浏览器我不大熟悉,但是现代的浏览器比如 Chrome,哪怕是他在页面加载的时候就运行谋个下载动作,那 chrome 也会提示下载东西吧。感染就更不理解了,您说的是利用浏览器漏洞吧,单单 HTML/JavaScript,在 chrome 自带的沙箱的前提下,我很难想象能感染到本地文件。
|
|
19
sudoy OP @FlyingShark 谢谢解答!
|
|
20
czfy 2020-12-17 16:33:24 +08:00 1
@sudoy 现代浏览器沙箱确实可以在一定程度上防范过往的木马 /病毒,但是实际上你打开网页就是把网页数据传输到你的本地啊...不是说只有下载文件才是下载
|
 |
21
zzzmh 2020-12-17 16:34:33 +08:00
讲道理我不懂底层,但我猜测用 chrome,不执行下载到本地的风险文件,不装有风险的权限的插件,应该没那么牛逼能让电脑中毒
|
 |
22
illl 2020-12-17 16:41:31 +08:00 1
如果存在 xss 和 crsf 漏洞的话还是会有影响的
|
|
23
sudoy OP @zzzmh 我也是这么认为的,现在绝大多数网址都不允许跨域,一些敏感的网址比如银行网址也都做的比较严谨。不过从楼上的评论来看,确实还是有一定风险。一些可疑的邮件还是不要去点开里面的链接。
|
|
24
CrazyBoyFeng 2020-12-17 16:56:43 +08:00 3
@czfy 下载不会感染,运行才会感染。而运行在沙箱里的程序也触摸不到沙箱之外。
现代浏览器不通过漏洞没法独立执行用户级进程。ie 从 ie7 开始都是纯沙箱了。 随着浏览器的更新换代,能被利用的漏洞是稀有的。这类漏洞即便被掌握,其漏洞价值之巨大,一般也只会用来对少数目标进行隐蔽的精准攻击。广泛的无差别攻击难以带来巨大利润,且还会被公众迅速发现后修补掉。 不推荐用那种内核万年不升级的第三方 chromium 套壳浏览器。 |
 |
25
CEBBCAT 2020-12-17 17:01:57 +08:00 1
@zzzmh #20 不懂可以只看帖不回帖呀,这次你猜错了。我也不懂,但我会 Google 搜索,然后我搜到了这些漏洞:
CVE-2019-5786: https://www.anquanke.com/post/id/173681 CVE 2019-5786: https://xz.aliyun.com/t/4502 Magellan 2.0: https://www.solidot.org/story?sid=63057 |
|
26
sudoy OP @CrazyBoyFeng 谢谢👍
|
 |
28
crab 2020-12-17 17:12:22 +08:00
经历过 IE 浏览器那会网马是真多,最爽的是 0day 在补丁日前流出。
|
 |
30
nuistzhou 2020-12-17 17:16:59 +08:00
犹记得很多年前 QQ 空间都是可以挂马的。。。
|
 |
31
xxxy 2020-12-17 17:21:36 +08:00
[图片] cve-2020-16016,cve-2020-16017 只要访问黑客控制的网站就能被 rce
|
 |
32
systemcall 2020-12-17 18:27:50 +08:00 1
自从浏览器使用沙箱、插件用 PPAPI 而不是 NPAPI 、默认禁用 Flash 、浏览器以低权限启动,浏览网页就安全得多了
以前 XP+IE6 的时候,浏览网页中毒的可能性还是挺大的,挂马的方式多得是,甚至服务器也有不少中毒的。NT6 开始有了 UAC,浏览器默认是低权限启动,好了很多。再就是 Chrome 的沙盒,以及后来开始淘汰 NPAPI 、插件也放在沙盒里跑,再就是淘汰 Flash |
 |
33
sampeng 2020-12-17 18:33:27 +08:00 via iPhone
所以每年的各大浏览器请黑客攻击自己浏览器是好玩嚒…
|
 |
34
lawler 2020-12-17 21:42:25 +08:00
以前是攻击,现在是钓鱼。
|
 |
35
loading 2020-12-17 22:00:28 +08:00 via Android
现在已经很安全了,况且现在盗号什么的都法律上禁止了。
|
 |
36
chocovon 2020-12-18 16:44:04 +08:00
按照木桶原理,大众用户所面临的安全问题其实都不是技术问题,多提个醒总没错
|
Select Language