SQL注入攻击成为新威胁将挑战操作系统安全
作者:佚名 来源:赛迪网 发布时间:2009-03-16 15:13:00
对于个人用户来说,除了病毒和木马,网页中的隐形代码也开始严重地威胁着我们的安全,但大多数人却缺乏自我保护意识,对隐形代码的危害认识不够,甚至在自己不知情的情况下被别人窃取了重要资料。因为隐形代码具有比较大的隐蔽性,到目前为止,还没有什么病毒防火墙能很好地阻止隐形代码的攻击,大多数甚至根本就不能发现。所以我们更应该高度警惕网页代码中的隐形杀手。
一般来说网页代码中的“隐形杀手”大致分为以下几类,大家在了解以后可以注意防范。
隐形杀手1:占用CPU
通过不断地消耗本机的系统资源,最终导致CPU占用率高达100%,使计算机不能再处理其他用户的进程。
“隐形杀手1”代码的典型恶作剧是通过JavaScript产生一个死循环。这类代码可以是在有恶意的网站中出现,也可以以邮件附件的形式发给你。现在大多数的邮件客户端程序都可以自动调用浏览器来打开HTM/HTML类型的文件。这样只要你一打开附件,屏幕上就会出现无数个新开的浏览器窗口。最后让你不得不重新启动计算机。
避恶方法
对于这类问题,只能是不要随便打开陌生人寄来的邮件的附件,特别是扩展是.vbs、.htm、.doc、.exe的附件。
隐形杀手2:非法读取本地文件
这类代码典型的作法是在网页中通过对Activex、JavaScript和WebBrowser control的调用来读本地文件。
“隐形杀手2”的代码较之“隐形杀手1”的特点就是表现方式较隐蔽,一般的人不容易发现隐形代码正在读取自己硬盘上的文件。“隐形杀手2”还能利用浏览器自身漏洞来实现其杀招,如IE5.0的IFrame漏洞。很简单的几行代码就可以读取你本地硬盘上的任何IE可以打开的文件。
避恶方法
可以通过关闭JavaScript并随时注意微软的安全补丁来解决。
隐形杀手3:Web欺骗
攻击者通过先攻入负责目标机域名解析的DNS服务器,然后把DNS-IP地址复位到一台他已经拿下超级用户权限的主机。
这类攻击目前在国内很少出现,但如果成功的话危害却非常大。而且可能会损失惨重。其攻击方法是:在他已经拿下超级用户权限的那台主机上伪造一个和目标机完全一样的环境,来诱骗你交出你的用户名和密码。比如说我们的邮件甚至网上的银行账号和密码。因为你面对的是一个和昨天一样的环境,在你熟练的敲入用户名和密码的时候。根本没有想到不是真正的主机。
避恶方法
上网时,最好关掉浏览器的JavaScript,使攻击者不能隐藏攻击的迹象,只有当访问熟悉的网站时才打开它,虽然这会减少浏览器的功能,但我想这样做还是值得的。还有就是不要从自己不熟悉的网站上链接到其他网站,特别是链接那些需要输入个人账户名和密码的网站。
隐形杀手4:控制用户机
目前这类问题主要集中在IE对Actives的使用上。
我们现在可以看一看自己IE的安全设置,对于“下载已签名的ActiveX控件”,现在的选项是“提示”。但你可能不知道,IE仍然有特权在无需提示的情况下下载和执行程序。这是一个严重的安全问题,我们可能在不知情的情况下被别人完全控制。
避恶方法
在注册表HKEY-LOCAL-MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatiblity”下为“Active Setup controls”创建一个基于CLSID的新建{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新建下创建REGDWORD类型的值:Compatibility Flags 0x00000400。
隐形杀手5:非法格式化本地硬盘
这类代码的危害较大。只要你浏览了它的网页,你的硬盘就会被格式化。
这并不是耸人听闻,其实IE可以通过执行ActiveX而使硬盘被格式化并不是什么新漏洞,如果浏览含有这类代码的网页,你的本机硬盘就会被快速格式化,而且因为格式化时窗口是最小化的,你可能根本就没注意,等发现已悔之晚矣。
避恶方法
把本机的format.com、deltree.exe等危险命令改名也是一个办法。因为我们在Windows中要真正用到这些DOS命令的情况并不是很多,而很多宏病毒或危险代码就是直接调用这些DOS命令,如有名的国产宏病毒“七月杀手”,就是在Autoexec.bat中加入了deltree c: /y。
猜你喜欢
- 相信大家在微信上一定被上面的这段话刷过屏,群发消息应该算是微信上流传最广的找到删除好友的方法了。但群发消息不仅仅会把通讯录里面所有的好友骚扰
- 本文实例讲述了python在控制台输出进度条的方法。分享给大家供大家参考。具体实现方法如下:进度条效果如下所示:|#############
- 一、序言前段时间一直在弄报表,快被这些报表整吐了,然后接触到了Oracle的table()函数。所以今天把table()函数的具体用法整理下
- 一、MySQL的主要适用场景1、Web网站系统2、日志记录系统3、数据仓库系统4、嵌入式系统二、MySQL架构图: 三、MySQL
- 一、单表查询—>更新UPDATE table_nameSET field1=new-value1, field2=new-value2
- oracle命令行删除用户: connect / as sysdba; shutdown abort; startup; drop user
- 仿豆瓣分页原型(Javascript版)写了个分页的样式。自我感觉,这样的分页前后兼顾,对于用户的体验是蛮好使的Javascript分页代码
- Python提供了一个内联模块buildin,该模块定义了一些软件开发中经常用到的函数,利用这些函数可以实现数据类型的转换、数据的计算、序列
- 反射是语言里面是非常重要的一个特性,我们经常会看见这个词,但是对于反射没有一个很好的理解,主要是因为对于反射的使用场景不太熟悉。一、理解变量
- 场景针对园区停车信息,需要对各个公司提供的停车数据进行整合并录入自家公司的大数据平台数据的录入无外乎就是对数据的增删改查下面上一个常规的写法
- 遇到了这个问题,意思是你的 CPU 支持AVX AVX2 (可以加速CPU计算),但你安装的 TensorFlow 版本不支持解决:1. 如
- 问题你的程序崩溃后该怎样去调试它?解决方案如果你的程序因为某个异常而崩溃,运行 python3 -i someprogram.py 可执行简
- 如下所示:>>> import pandas as pd>>> import numpy as np&g
- 我们通常用golang来构建高并发场景下的应用,但是由于golang内建的GC机制会影响应用的性能,为了减少GC,golang提供了对象重用
- 我设了两个SESSION:SESSION(A1),SESSION(A2),然后我现在想结束其中一个SESSION(如:ESEEION(A1)
- 概述python开发过程中,我们可能需要同时开发多款应用,这些应用可能公用同一个版本的Python程序,但是使用不同版本的第三方库,比如A应
- 1、最郁闷的发现!!先看代码:<style>#a #b #c span{color:red;}#b #c span{color:
- 前两天有一位网友问我一个关于Javascript中++操作符的问题,他的代码大致是这样的ADS.addEvent(window,'c
- 1.尽量将资源文件夹放到主文件夹下2.pyi-makespec main.py制作spec文件3.spec文件在当前文件夹下,main.sp
- 任务:用python时间简单的统计任务-统计男性和女性分别有多少人。用到的物料:xlrd 它的作用-读取excel表数据代码:import