浏览网页有可能中木马或者病毒吗?

2020-12-17 14:05:03 +08:00
 sudoy

有时候工作中收到一些带有链接的可疑邮件,我一般会提醒同事收到可疑的邮件不要点开里面的链接。作为一个业余开发者,今天忽然想认真研究下,到底单纯打开个网址,会不会造成中毒或者中木马?使用的设备包括 PC 和手机( iOS 和安卓)。我目前偶尔会开发一些 chrome 插件(未打包的那种),给公司内部使用,但对 JavaScript 和 chrome 浏览器的知识还算很浅。先行谢过!

5040 次点击
所在节点    问与答
36 条回复
zzzmh
2020-12-17 16:34:33 +08:00
讲道理我不懂底层,但我猜测用 chrome,不执行下载到本地的风险文件,不装有风险的权限的插件,应该没那么牛逼能让电脑中毒
illl
2020-12-17 16:41:31 +08:00
如果存在 xss 和 crsf 漏洞的话还是会有影响的
sudoy
2020-12-17 16:53:06 +08:00
@zzzmh 我也是这么认为的,现在绝大多数网址都不允许跨域,一些敏感的网址比如银行网址也都做的比较严谨。不过从楼上的评论来看,确实还是有一定风险。一些可疑的邮件还是不要去点开里面的链接。
CrazyBoyFeng
2020-12-17 16:56:43 +08:00
@czfy 下载不会感染,运行才会感染。而运行在沙箱里的程序也触摸不到沙箱之外。
现代浏览器不通过漏洞没法独立执行用户级进程。ie 从 ie7 开始都是纯沙箱了。
随着浏览器的更新换代,能被利用的漏洞是稀有的。这类漏洞即便被掌握,其漏洞价值之巨大,一般也只会用来对少数目标进行隐蔽的精准攻击。广泛的无差别攻击难以带来巨大利润,且还会被公众迅速发现后修补掉。
不推荐用那种内核万年不升级的第三方 chromium 套壳浏览器。
CEBBCAT
2020-12-17 17:01:57 +08:00
@zzzmh #20 不懂可以只看帖不回帖呀,这次你猜错了。我也不懂,但我会 Google 搜索,然后我搜到了这些漏洞:
CVE-2019-5786: https://www.anquanke.com/post/id/173681
CVE 2019-5786: https://xz.aliyun.com/t/4502
Magellan 2.0: https://www.solidot.org/story?sid=63057
sudoy
2020-12-17 17:02:21 +08:00
@CrazyBoyFeng 谢谢👍
sudoy
2020-12-17 17:07:05 +08:00
@CEBBCAT 哇,这些资料就很专业了!多谢
crab
2020-12-17 17:12:22 +08:00
经历过 IE 浏览器那会网马是真多,最爽的是 0day 在补丁日前流出。
sudoy
2020-12-17 17:15:01 +08:00
@crab 所以 IE 是用来下载 Chrome 的 😄
nuistzhou
2020-12-17 17:16:59 +08:00
犹记得很多年前 QQ 空间都是可以挂马的。。。
xxxy
2020-12-17 17:21:36 +08:00
[图片] cve-2020-16016,cve-2020-16017 只要访问黑客控制的网站就能被 rce
systemcall
2020-12-17 18:27:50 +08:00
自从浏览器使用沙箱、插件用 PPAPI 而不是 NPAPI 、默认禁用 Flash 、浏览器以低权限启动,浏览网页就安全得多了
以前 XP+IE6 的时候,浏览网页中毒的可能性还是挺大的,挂马的方式多得是,甚至服务器也有不少中毒的。NT6 开始有了 UAC,浏览器默认是低权限启动,好了很多。再就是 Chrome 的沙盒,以及后来开始淘汰 NPAPI 、插件也放在沙盒里跑,再就是淘汰 Flash
sampeng
2020-12-17 18:33:27 +08:00
所以每年的各大浏览器请黑客攻击自己浏览器是好玩嚒…
lawler
2020-12-17 21:42:25 +08:00
以前是攻击,现在是钓鱼。
loading
2020-12-17 22:00:28 +08:00
现在已经很安全了,况且现在盗号什么的都法律上禁止了。
chocovon
2020-12-18 16:44:04 +08:00
按照木桶原理,大众用户所面临的安全问题其实都不是技术问题,多提个醒总没错

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/736353

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX