大家可能也會遇到過一些情況,比如一些企業(yè)網(wǎng)站或流量比較大的網(wǎng)站都會出現(xiàn)被跳轉(zhuǎn)到菠菜違法廣告。網(wǎng)頁掛馬的這種形式,比如說它可以生成JS代碼,然后給你掛一個XSS跨站攻擊這樣的一個代碼,當(dāng)你是一個較老的瀏覽器,可以利用瀏覽器的這種漏洞直接攻擊你的操作系統(tǒng),從而獲得較高的系統(tǒng)權(quán)限。
你比如說IE瀏覽器就存在著這種情況,我們通過一個網(wǎng)頁就可以勾住它,勾住它以后就可以通過網(wǎng)頁滲透到它的計算機(jī)端,從而提前獲得系統(tǒng)權(quán)限,然后在這里頭做你自己想要做的事,這個完全也是可以的。所以這種情況就像我們所說的,那么它一般都會打這種擦邊球,什么叫擦邊球?比如說一些違規(guī)內(nèi)容的網(wǎng)站,這東西本身就是違法的,所以說他被黑了,他也只能認(rèn)一個啞巴虧,他不會去報警說我我這個違規(guī)的網(wǎng)站讓人黑了。
那你不是說自投羅網(wǎng)的是吧?在中國大陸這件事是不容易做的。第二個出現(xiàn)這種情況經(jīng)常會出現(xiàn)在哪?電影下載類。那么第三個出現(xiàn)的是什么?出現(xiàn)的就是你用開源代碼創(chuàng)建的網(wǎng)站,這個電影網(wǎng)站的話經(jīng)常會做一些什么?用戶信息的收集,比如說你在注冊的時候,它會讓你輸入郵箱,對吧?還有你的一些聯(lián)系方式,這時候?qū)嶋H上他就在你對你做一些信息收集,然后當(dāng)你下載的時候,它讓你輸入比如說什么迅雷對吧?讓你輸入用戶名和密碼,這時候你在輸入的過程中,它的后臺可以做鍵盤記錄,所以有時候經(jīng)常會發(fā)現(xiàn)你拿迅雷去某盜版網(wǎng)站下電影下完了以后,可能你迅雷賬號都弄不上去了,發(fā)現(xiàn)告訴你密碼不正確,那這時候可能會被做鍵盤記錄了,所以你的用戶姓名,你的郵箱,你的郵箱就會發(fā)一些地址,比如說你注冊的這個郵箱密碼恰好就是你正確的密碼對吧?所以在郵箱中就會有一些個人信息又被人收集走了,有哪些信息?卡賬單有沒有?
現(xiàn)在都是電子賬單了,對吧?早年間的話還有紙質(zhì)賬單,銀行每到一個固定的日子就給你郵寄一個賬單,現(xiàn)在的話都是電子賬單了,電子賬單上你的聯(lián)系方式有吧?你的信息有吧?比如說卡號,卡號后邊那幾位安全碼,有沒有工作單位住址?你姓什么就叫什么對吧?沒有全名的時候稱呼你一位先生,看見女士稱之為女士對吧?所以這些都是我們信息泄露的一種方式,包括一些游戲密碼等等。
那么同時還有一些私服,網(wǎng)頁掛馬了怎么掛馬的,它是直接通過script語句,通過script的標(biāo)簽,對吧?可以直接就給你生成一個代碼,當(dāng)然在你沒有殺毒的情況下,可能你特別容易中招,在你有一些較牛逼的殺毒的情況下,如果他檢測不出來,也可能會中招。所以這里頭就會出現(xiàn)了什么盜號、挖礦、XSS等這樣的情況,如果想要防止網(wǎng)站被XSS攻擊的話,就要從代碼層面入手,對get post提交的數(shù)據(jù)進(jìn)行過濾,如果不會的話可以向網(wǎng)站漏洞修復(fù)公司尋求技術(shù)支持。
