讨论一下网页病毒的原理？

totem

在我的理解里，网页是HTML,CSS,JAVAScript的混合体，再加上一些浏览器的plugin,比如Adobe flash player之类的，
网页怎么能做病毒呢？ 应该是由于安全限制，不能往客户端写什么东西的把。

比如，我用的Mac, 浏览器是Chrome,有没有可能浏览过一个网页后，就中毒了？

明月星光

浏览器或者plugins的代码有漏洞就可能中病毒，参考IE6，这么多年还不得补了上百个漏洞…… flash player也经常紧急升级的。

明月星光

既然是病毒，自然是要绕过浏览器和操作系统的安全限制。 安全限制程序也是代码，一样会有漏洞可以被利用。

totem

像chrome这种静默升级的浏览器应该没什么问题把，基本都是最新版，另外flash player,也是经常出现更新提示，也会很快更新。各大厂商的补丁都会在第一时间发布的。用盗版把自动更新关掉的不考虑，微软已经宣布IE6死了，也可以不考虑。应该更新到IE8（for xp）,或IE9（Vista以上）

也就是这种网页病毒只有很短的时效，对吗？

[ 本帖最后由 totem 于 2012-4-25 21:48 编辑 ]

totem

浏览器，操作系统漏洞是会有的，这个很难避免，也会很快发布补丁，升级。
那在假设浏览器，操作系统没有漏洞的情况下，网页病毒还会存在吗？

鱼羊鲜

有啊，釣鱼，sqI注入，Xss都算吧

红烧鸡翅

现在也就跨站脚本可以骚骚

明月星光

原帖由 totem 于 2012-4-25 21:43 发表
浏览器，操作系统漏洞是会有的，这个很难避免，也会很快发布补丁，升级。
那在假设浏览器，操作系统没有漏洞的情况下，网页病毒还会存在吗？

怎么不假设没有病毒的存在呢？

明月星光

原帖由 totem 于 2012-4-25 21:39 发表
像chrome这种静默升级的浏览器应该没什么问题把，基本都是最新版，另外flash player,也是经常出现更新提示，也会很快更新。各大厂商的补丁都会在第一时间发布的。用盗版把自动更新关掉的不考虑，微软已经宣布IE6死了，也可以不考虑。应该更新到IE8（for xp）,或IE9（Vista以上）

也就是这种网页病毒只有很短的时效，对吗？

看什么类型的代码了，有些偷取网站登录密码的XSS漏洞无需浏览器漏洞，只要网页代码写的有问题就可以了。

totem

因为浏览器漏洞跟操作系统漏洞很快就可以升级搞定啊。

totem

感谢分享，有时间研究一下

totem

谢谢，sql注入，是客户端攻击服务器端，钓鱼是骗术，哈哈，对XSS有兴趣

sunyu321

社会工程学钓鱼才是恐怖的。。

Limitless

IE下各种activex的溢出，甚至javascript都能溢出，chrome号称安全，上次也被挖出来好几个0day，而且直接突破沙盒。flashplayer 0day就更多了，现在大概还两个没补，在地下流传，被用的差不多了……

FeiGuoHai

原帖由 鱼羊鲜 于 2012-4-29 00:49 发表
有啊，釣鱼，sqI注入，Xss都算吧

这些一般不属于网页病毒， 是网站本身的缺陷， 并不具有传染性。