主页 / computer / 问题 / 1709712
Accepted
norway-yv
Asked: 2022-03-15 01:08:01 +0800 CST

网站本身会很危险吗?

  • 772

我确实了解存在网络钓鱼的风险,并且它下载的文件在打开时可能会造成伤害。但是,当我只是打开一个网站时,是否有发生坏事的风险?在那种情况下,会发生什么?

security website

8 个回答

  1. Best Answer

    Web 浏览器是与任何其他软件一样可能存在漏洞的程序。

    这意味着简单地使用具有远程代码执行漏洞的 Web 浏览器浏览网站在最坏的情况下可能导致攻击者能够在 Web 浏览器的许可下执行代码。

    现代 Web 浏览器使用沙盒系统,可以防止此类代码造成损害,但同样这些系统并不完美,黑客可能会找到逃离沙盒并感染您的系统的方法。

    Google、Mozilla、Apple 等网络浏览器的开发人员在了解这些漏洞后会关闭这些漏洞,但许多漏洞会以“零日漏洞”的形式出现,这意味着它们首先用于攻击用户,然后他们会收到通知,例如由防病毒公司通知 Web 浏览器开发人员。然后必须开发一个固定版本并将其分发给所有用户,这可能需要一些时间。

    总之,如果您运气不好并且您的网络浏览器中存在未修复的漏洞,您可以说浏览网站可能会损害您的计算机。

    由于大量此类漏洞需要 JavaScript,因此禁用可疑网页的 JavaScript 是个好主意。您可以这样做,例如使用 NoScript 之类的附加组件。

    • 55

  2. 如果您查看这一代和上一代视频游戏机(PlayStation 4 和 5、Xbox One 和系列),网络浏览器用于利用固件中的错误来访问通常不可用的功能. 想要利用他们的控制台的用户访问一个专门准备的网站,基本上就是这样。相同的漏洞可用于恶意目的。

    是的,这是与 PC 的一个很好的类比:这些控制台像任何个人计算机一样运行操作系统,并且它们的浏览器基于 Webkit - 为绝大多数桌面浏览器提供动力的同一引擎*。

    为什么这样的漏洞在 PC 上并不常见?我想主要是因为桌面浏览器供应商在保持他们的浏览器最新方面要好得多。所有主要浏览器都是常青树,即。他们会在发布后立即自动更新到最新版本。对于控制台,浏览器与固件捆绑在一起,但它们似乎并不能很好地保持它的最新状态——可能是因为它与系统的其余部分更紧密地集成在一起,而且它们负担不起重新测试的费用每次发布小补丁时,一切都会彻底。

    * 更准确地说,Chrome 和它的一些亲戚是由基于 Webkit 的 Blink 引擎驱动的。Firefox 是目前最流行的无 Webkit 浏览器,但同样的原则也适用。

    • 12

  3. 如果浏览器存在漏洞,网站可能会很危险。但是,即使您的浏览器中没有任何漏洞,根据您的定义,它们也可能很危险。

    • 他们可以利用其他网站中的漏洞,例如窃取您的帐户,或绕过互联网和本地网络之间的防火墙。或者他们只是使用您的浏览器尝试对另一个网站进行 DDoS 攻击,这可能会损坏该网站,或阻止您访问其他网站,或两者兼而有之。
    • 他们可以运行加密货币的挖掘脚本。
    • 在某些情况下,它们可以通过使用大量资源来使您的系统冻结。
    • 如果该链接是专门为您设计的,它会泄露您的 IP 和位置信息、一些系统信息和设置,以及您实际点击它的事实,暗示您已阅读该消息。
    • 如果您通过使用某种代理向您的 ISP 隐藏您的活动,理论上,如果您访问给定的网站,他们可以通过测量带宽来了解您。
    • 可能不是有意的,但他们可能会让一些 3rd 方广告平台在接下来的几天内展示不友好的广告。
    • 一些验证码提供商表示,他们可以分析用户的行为,并在某些情况下将流程简化为只需单击一下即可。我不知道它是如何工作的。但如果它有效,理论上他们可以通过复制你的行为来破坏它。
    • 8

  4. 它可能不针对硬件,但可以设计一个网站来专门利用某些人诱发癫痫发作的风险,这样实际上对用户有医学上的危险。我很可能会看到这样一种论点,即这样的网站实际上比仅仅利用随机安全漏洞的网站更危险。

    • 4

  5. 是的。即使是没有任何 HTML 的简单图像,更不用说任何活动内容,也可用于利用图像查看器(包括浏览器)中的漏洞。

    是一个较旧的示例。照原样“仅”使浏览器崩溃,但我认为作为一般规则,此类错误可能会被用于执行代码。

    • 4

  6. 在某些特定但常用的硬件中可能存在高级漏洞利用。示例:在(非常)旧的 iOS 设备上滑动越狱。你打开网站。你滑动视觉控制。设备越狱并安装了 Cydia。滑动部分可以被移除。可以使用一些恶意负载来代替 Cydia。

    我认为在正确更新的 Windows/Linux/macOS 系统上这不是一个小问题。此外,使用具有流量检查功能的良好但非默认的现代 AV 将有所帮助(现在站点也必须克服它的保护)。

    • 1

  7. 是的,它可以。查看 NetworkChuck 的视频“我黑掉了我妻子的网络浏览器”。他展示了一个糟糕的网站是多么容易伤害你,即使你没有下载任何东西。

    例如,网站可以记录您键入的任何内容,进行社交工程以访问 LastPass 帐户,甚至可以 Rickroll 您。

    免责声明:我与 NetworkChuck、他的频道或他的任何赞助商没有任何关系。我只是发现视频信息量很大。

    • 1

  8. 正如其他答案已经涵盖的那样,该网站可能对访问者自己的计算机或系统造成危险。

    但是,当用户访问一个网站时,它可能会恶意地使用受害者的系统来破坏/攻击其他一些资源。

    例如,DNS 重新绑定攻击的基本思想是受害者访问攻击者的网站并下载针对网络上其他一些资源的恶意 JavaScript 代码。在此攻击中,攻击者操纵其域的 DNS 记录,将下载脚本的资源的 IP 地址更改为属于被攻击系统的 IP 地址,从而绕过同源安全保护。它甚至可以是内部网络中的系统,攻击者无法直接访问。

    所以,是的,访问网站可能很危险。根据威胁模型的不同,某些伤害的发生可能有多种方式。

    • 1

相关问题