Warning: file_get_contents(/data/phpspider/zhask/data//catemap/8/google-chrome-extension/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security 网站会造成什么损害?_Security_Web - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security 网站会造成什么损害?

Security 网站会造成什么损害?

security web

Security 网站会造成什么损害?,security,web,Security,Web,我偶尔(不经意地)会遇到我的反病毒软件警告我的网站。出于好奇,一个网站会造成什么样的损害 我已经在网络开发领域工作了大约4年,想不出有什么值得提醒用户的“真正的”损害。也许我遗漏了一些显而易见的东西,但浏览器和主要操作系统实现的基本安全措施是否可以防止任何特别的入侵 我说的是威胁,除了任何欺骗性的东西(网络钓鱼等)。对浏览器征税是否足以保证防病毒警告(即使用消耗资源的javascript使页面过载)?通常,cookie、缓存和本地存储都有限制,所以我想不出会发生什么 我怀疑这可能有点离题,因为它

我偶尔(不经意地)会遇到我的反病毒软件警告我的网站。出于好奇,一个网站会造成什么样的损害

我已经在网络开发领域工作了大约4年,想不出有什么值得提醒用户的“真正的”损害。也许我遗漏了一些显而易见的东西,但浏览器和主要操作系统实现的基本安全措施是否可以防止任何特别的入侵

我说的是威胁,除了任何欺骗性的东西(网络钓鱼等)。对浏览器征税是否足以保证防病毒警告(即使用消耗资源的javascript使页面过载)?通常,cookie、缓存和本地存储都有限制,所以我想不出会发生什么

我怀疑这可能有点离题,因为它在技术上没有我通常会问的那么具体。如果是这样的话,我很乐意删除它。

一个主要问题是,当你进入一个网站时,它可以自动下载一些东西到你的电脑上。通常,一个普通的网站会问你是否确定要下载该项目,但是一个网站可以在没有你许可的情况下下载某些内容。如果下载的文件是病毒,那么现在你的计算机上有病毒,病毒可以对计算机造成任何形式的损害

请参见此处()以了解病毒的问题以及如何删除它们。

主要风险是遇到病毒

按驱动器下载不一定是通常意义上的文件下载,它可能是一种浏览器漏洞,允许可执行代码在系统上下载和执行(称为有效负载)

一个例子是:

Microsoft Internet Explorer包含一个漏洞,该漏洞可能允许 未经身份验证的远程攻击者可在计算机上执行任意代码 目标系统

该漏洞是由于对web中的元素处理不当造成的 页。未经验证的远程攻击者可以利用此漏洞进行攻击 通过说服用户查看恶意网站而导致的漏洞。如果 如果成功,攻击者可以利用此漏洞执行 具有用户权限的系统上的任意代码

该漏洞是由于不正确处理不断更改的 固定表格布局中的colspan。如果colspan可以在 初始化时,它可能会触发基于堆的缓冲区溢出

然而,今年(2015年)在Flash Player中有一个更为近期的漏洞:

13.0.0.269之前的Adobe Flash Player和14.x到16.x之前的Adobe Flash Player Windows和OS X上的16.0.0.305以及Linux上的11.2.202.442之前版本允许攻击者执行任意代码或造成拒绝服务 (内存损坏)通过未指定的向量

网站上的另一个攻击向量可以利用诸如跨域攻击之类的攻击。这样的恶意站点可能会向您登录的其他站点发出后台请求。例如,它可能向

https://facebook.com/delete_account
(由URL路径组成),当您登录Facebook时,您的浏览器将传递cookies并触发该操作。也就是说,如果Facebook没有针对删除帐户功能的CSRF保护(我很确定它确实有)

跨域攻击的另一个例子是,该站点可能试图利用您使用的其他站点上的任何漏洞进行攻击。它可以重定向到另一个站点,并在您登录时捕获您的凭据,或者它可以做一些更隐蔽的事情,比如在后台请求一个站点,然后抓取您的会话cookie。但是,这要求目标站点包含此类XSS缺陷。

鉴于普通用户会单击他们看到的任何按钮,以关闭对话框并查看正在跳舞的泰迪熊,因此谨慎的做法是显示警告。由于浏览器的安全措施,该网站可能需要用户的许可才能进行恶意操作,但用户非常乐意授予该许可。我想可能就是这样。所以答案(本质上)是“没有,未经允许”,但是安全软件正在保护用户免受他们自己的幼稚行为的伤害?请在任何像百思买这样的大型计算机商店停下来,问问他们的支持人员,他们正在从那些毫无戒心的普通用户的机器上移除什么样的东西,这些用户除了单击“确定”或“安装”或“给我看小猫”或“安装”之外什么都不知道如何做“是的,让我的机器更快“。或者阅读联邦调查局关于系统被恶意软件劫持勒索的警告,这些恶意软件被发送给盲目打开附件、单击链接或下载文件的用户。在大多数情况下,是的。网站恶意利用web浏览器或主机系统中的漏洞的可能性为非零,人们永远不要忘记这一点。但是,网站所能做的绝大多数事情至少需要用户授予一些权限。(除了对弹出窗口之类的东西感到恼火之外)这不仅仅是天真。即使是精通网络的专业人士也没有时间检查每一个网站和来源。更糟糕的是,许多组织,甚至是技术组织,在没有正确配置CA的情况下使用内部自签名证书,因此用户习惯于警告和绕过保护。你把那些人赶下来,让他们把它修好。几个月过去了。你是否A)辞职B)永远不断地纠缠组织不同部门的人,或者C)开始忽略警告,这样你就可以完成工作?虽然这是我想要的信息,但我不确定情况是否如此。当然,它必须是一个可执行文件,并且以某种方式自我执行?这可能是一个技术问题,但当你访问一个网站时,它不仅可以自动下载一些东西到你的计算机上,而且必须。这是网络工作的唯一方式。下载HTML和资源,并解析和执行这些资源。我认为响应通常是我将下载并呈现或显示的一组文件(显然是从本地驱动器),