把瀏覽器的JavaScript和ActiveX的執行全部停用,是否就能真正杜絕網頁威脅? 發問者:ithelp (IT邦初學者8級) 發問時間:2008-02-04 17:24:47 許多網頁威脅的產生都跟惡意程式有關,正因為網頁瀏覽器具有執行程式碼的能力,為了正本清源、堅壁清野,如果我們把瀏覽器的JavaScript、Java和ActiveX的執行設定全部停用、不允許執行,是否就能真正杜絕網頁威脅? ------ 最佳解答 回答者:ithelp (IT邦初學者8級) 回答時間:2008-02-04 17:24:47 就現今網頁威脅來看,網頁威脅的種類非常多樣性,理論上講,基於Web的威脅可被分為三類:一、行為:例如惡意網站和不需要的應用程式,二、產品與種類:不恰當的內容,例如網路釣魚網站,三、程式:例如,間諜軟體惡意程式。 要威脅瀏覽網頁的使用者,並非只能透過JavaScript和ActiveX,只要是跟網頁應用有關,一旦只要被有心人士利用,都會造成瀏覽用戶的安全問題,簡單舉幾個例子: 1. IFrame標籤: IFrame標籤會在一個沒有設定frame的網頁中央,建立一個浮動的frame,將瀏覽者導向其他惡意網站或將其他網站內容插入網頁當中,瀏覽者不容易察覺,下載並植入後門或木馬程式而不自知。 2. 修改或攔截Cookie: Cookie是網站用來確認身份與記錄敏感性(如密碼)個人資料的檔案,有心人士可以通過網路竊聽(sniffer)來攔截它,使用它來跟網站伺服器溝通,竊取瀏覽網站使用者的機密資料。 3. 網頁上的圖檔:在之前微軟的圖形裝置介面JPEG處理程式中,當瀏覽者載入一張JPEG的圖檔時,處理程式並沒作足邊界檢查,造成了整數溢位的情形,所以當惡意人士讓瀏覽者打開惡意的圖檔時,攻擊者就可以用和使用者相同的權限,能執行任意的指令。 4. 網頁下載或要求瀏覽者安裝瀏覽網頁需要的程式:自網頁下載的程式有可能為有心人士所存放的惡意程式,而安裝瀏覽網頁需要的程式也可能是木馬或後門程式。 5. 電子郵件 : 有心人士可以透過電子郵件內嵌網頁或多媒體檔案,藉由上述的手法如IFrame標籤或惡意圖檔,不管使用者是否關閉JavaScript或ActiveX的功能,皆可造成使用者安全上的威脅。 6. 瀏覽器本身的軟體弱點及漏洞: 利用瀏覽器程式在處理網頁語法或網頁物件時,針對程式處理的缺陷來執行惡意程式或操控系統。 7. CSS attack: 此CSS並非Cross-Site Scripting而是(Cascading Style Sheet),是較新的攻擊手法,目前有兩種方式: �� CSS overlays:利用IFrame + CSS,只顯示部分的內容,讓使用者去誤點某些不安全的操作。 �� Submit buttons:把submit button的border拿掉、改字體,讓它看起來像普通的link,讓瀏覽者不疑有他,點擊連到其他惡意網站。 8. 網路釣魚: 典型的網路釣魚騙局多以線上金融交易用戶為對象,網路釣魚攻擊利用偽造的網站來欺騙受害者,並藉此獲取受害者的個人金融資料,像是信用卡號、帳戶名稱及密碼等。 9. 網址嫁接: 是指不法駭客將網際網路流量,從原本的網站重新導引至另一個看似相同的網站,誘騙人們將使用者名稱及密碼輸入到該偽造網站的資料庫中。銀行或相關金融網站常是這類攻擊的對象,不法駭客試圖從中竊取個人資訊,用來存取他人的銀行帳戶、盜用身分,或冒名犯下其他類型的詐騙案。 10. SSL攻擊:利用SSL軟體設計上的弱點,如微軟IE實作SSL上的問題,讓惡意網站可以假冒不合法的憑證,將瀏覽者的SSL連線導向到惡意網站。 11. 網頁上的多媒體檔案,如RealPlayer、Windows Media Player、Marcomedia Flash Player等都有相關的軟體弱點,可以讓有心人士利用,對於網頁瀏覽者造成安全上的威脅。 ------ 討論 發表者:john651216 (IT邦初學者1級) 發表時間:2008-03-30 11:55:02 只會杜絕一部分的威脅,使用者要隨時保持高度警戒才會有比較高的安全性 ------ 發表者:skite (IT邦大師9級) 發表時間:2008-03-30 14:36:25 雖然都停用可以減少許多被惡意程式攻擊的機會,不過瀏覽網站時也會帶來許多的不便,我個人是認為不用因噎廢食啦,還是以建立完整的防火牆等安全機制來防堵比較恰當。 ------ 發表者:john651216 (IT邦初學者1級) 發表時間:2008-04-20 12:17:22 謝謝分享 ------ 發表者:5min (IT邦好手10級) 發表時間:2008-04-20 17:04:44 謝謝分享 ------ 發表者:antijava (IT邦初學者1級) 發表時間:2008-04-24 18:47:02 不要上網更安全 ------ 發表者:skite (IT邦大師9級) 發表時間:2008-04-25 11:12:46 antijava的答案真是太棒啦! XD 不過好像不要用電腦也滿安全的哩… 呵呵 ------ 發表者:misadm (IT邦好手10級) 發表時間:2008-04-25 11:21:10 不是有哪天是無車日嗎?我記得台北市好像還辦過車子不可以進城! 那我們來搞個『無電腦日』好了!就是當天大家電腦都不要開機!這樣也可以當作安全日囉!! ------ 發表者:kenchen2003 (IT邦初學者10級) 發表時間:2008-04-25 12:47:29 好耶我贊成那一天的到臨 大家回歸到最原始的人工作業 ------ 發表者:yce701116 (IT邦初學者1級) 發表時間:2008-04-25 17:51:49 感謝分享資訊 ------ 發表者:fanylu60 (IT邦初學者1級) 發表時間:2008-04-26 16:42:40 感謝提供分享 ------ 發表者:tyc1220 (IT邦初學者1級) 發表時間:2008-05-15 02:33:16 謝謝分享 ------ 發表者:jamesjan (IT邦好手10級) 發表時間:2008-08-16 09:07:35 防不勝防啊 還是要養成良好習慣,不要因好奇心隨意開啟不明的網頁與郵件 善用瀏覽器外掛程式來防制動機不良網頁 ------ 發表者:fantasy (IT邦初學者9級) 發表時間:2008-09-07 14:17:56 真的不想中毒,可以考慮安裝一張還原卡或蓮花卡 每次重開機後,系統自動還原到所設定的原始狀態 當然它並不保證硬碟裡面沒有病毒\ 也無法避免開機後使用過程當中避免中毒 但至少可以確保每次開機都是一個乾淨的環境 (幾乎啦,除非中了BIOS病毒) ------ iT邦幫忙‧發問、回答、分享‧http://ithelp.ithome.com.tw 回 · 網際網路安全問題 這一篇文章封面 |
| 本站公告:〔您越需要我們,我們就越有創意〕 | 本站說明書:〔發現故鄉還有改進的地方,請來信告訴原丁們〕 |
| 觀察應用學習點數 :〔咱的故鄉有您的參與,會使我們有更大的發揮空間,展現更豐富精彩的學習畫面〕 | 〔期待藉由無障礙網頁設計,能讓視障小朋友更愛看書、更愛寫作且更愛學習〕:盲用電腦「心得分享」 |