V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
sudoy
V2EX  ›  问与答

浏览网页有可能中木马或者病毒吗?

  •  
  •   sudoy · 78 天前 · 2201 次点击
    这是一个创建于 78 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有时候工作中收到一些带有链接的可疑邮件,我一般会提醒同事收到可疑的邮件不要点开里面的链接。作为一个业余开发者,今天忽然想认真研究下,到底单纯打开个网址,会不会造成中毒或者中木马?使用的设备包括 PC 和手机( iOS 和安卓)。我目前偶尔会开发一些 chrome 插件(未打包的那种),给公司内部使用,但对 JavaScript 和 chrome 浏览器的知识还算很浅。先行谢过!

    36 条回复    2020-12-18 16:44:04 +08:00
    ysc3839
        1
    ysc3839   78 天前
    论可能性的话那当然是可能的,浏览器有可能存在漏洞。
    ysc3839
        2
    ysc3839   78 天前   ❤️ 1
    举个典型的例子,运行 iOS 9.1 - 9.3.4 的 32 位设备可以通过网页来越狱 http://www.jailbreak.me/
    FlyingShark
        3
    FlyingShark   78 天前
    SVG 还有 PDF 相关的漏洞是有的,微信 webview 也出过漏洞
    LiYanHong
        4
    LiYanHong   78 天前   ❤️ 1
    楼主没经历过 ie6 年代吗
    不过现代浏览器除了第三方插件和本身的漏洞,中毒可能性很小
    CrazyBoyFeng
        5
    CrazyBoyFeng   78 天前   ❤️ 2
    一般情况下,除非使用的是 ie 这种古代浏览器,现代浏览器都是沙箱环境,javascript 接触不到本地文件。
    czfy
        6
    czfy   78 天前   ❤️ 1
    如果浏览网页不会中木马或者病毒,以前的木马或病毒都怎么传播?
    U 盘传播那也得你插上的电脑已经中毒,最开始肯定是通过网络传播的啊..

    只是现在不像以前,木马 /病毒少见了,不过最近最有名的当属勒索病毒
    WeaPoon
        7
    WeaPoon   78 天前   ❤️ 1
    会,只是现在可能性比较低,除非发现重大漏洞。以前网马可是很盛行的,下载 exe 和执行,有能利用的 0day 就等于看到了钱。
    cmdOptionKana
        8
    cmdOptionKana   78 天前
    有可能,但可能性极低,低到可以忽略。

    打个比喻,过马路(即使遵守交通规则并很小心)有可能被车撞吗,有,但绝大多数情况下我们在实践中都忽略这个极低的可能性,当作不会被撞来处理就行了。
    chnyuwen
        9
    chnyuwen   78 天前   ❤️ 1
    Chromium 有沙箱机制,还是以最低权限运行的,macos 还有一层应用沙箱,突破沙箱还要提权...除非有 0 day
    大规模使用 0 day 在普通人身上并不值,我认为普通人几乎没有可能遇到。
    cmostuor
        10
    cmostuor   78 天前
    @chnyuwen 在普通的人能用得起电脑的家庭在怎么着家里都是有点储蓄的 而且把不是很多人都会有安全意识也很容易被欺骗 就程序员里有安全意识的都没多少何况什么技术都不懂的普通人。。。省去一堆巴拉巴拉的废话 在安全的机制或软件都抵不过一个愚蠢的人做的不安全的操作
    ifxo
        11
    ifxo   78 天前   ❤️ 1
    现在只要用最新的浏览器,就不可能中毒,打开网页只可能被钓鱼
    lixuda
        12
    lixuda   78 天前   ❤️ 1
    应该防的是打开网页后的操作,钓鱼,打开了下载文件等等
    sudoy
        13
    sudoy   78 天前
    谢谢各位回复!总结下就是,用现代的浏览器浏览网页中毒和木马可能性极低,倒是被钓鱼的可能性更大些。
    sudoy
        14
    sudoy   78 天前
    @czfy 我认为那是会下载文件(比如可执行文件)到本地电脑,诱导点击以后中毒的吧,单单浏览网页没有下载任何东西到本地的情况下,应该还是很难中毒的。
    czfy
        15
    czfy   78 天前   ❤️ 1
    @sudoy 浏览行为本身就可以带来“下载”和感染,因为浏览本身就是本地电脑和服务器数据交换的过程,网站挂马也是访问即感染,不存在主动可感知的下载
    wysnylc
        16
    wysnylc   78 天前   ❤️ 1
    以前有,现在少
    FlyingShark
        17
    FlyingShark   78 天前   ❤️ 1
    @sudoy 会的,不需要下载,现代浏览器依然存在浏览即执行恶意代码的情况,浏览器有解析漏洞,再配合沙箱逃逸 0day 漏洞,可以实现提权。 不过你放心,现在已经很少了,用户只要及时升级浏览器即可。
    sudoy
        18
    sudoy   78 天前
    @czfy 访问即感染!听起来挺可怕的,不过我还是不大明白。老的 IE 浏览器我不大熟悉,但是现代的浏览器比如 Chrome,哪怕是他在页面加载的时候就运行谋个下载动作,那 chrome 也会提示下载东西吧。感染就更不理解了,您说的是利用浏览器漏洞吧,单单 HTML/JavaScript,在 chrome 自带的沙箱的前提下,我很难想象能感染到本地文件。
    sudoy
        19
    sudoy   78 天前
    @FlyingShark 谢谢解答!
    czfy
        20
    czfy   78 天前   ❤️ 1
    @sudoy 现代浏览器沙箱确实可以在一定程度上防范过往的木马 /病毒,但是实际上你打开网页就是把网页数据传输到你的本地啊...不是说只有下载文件才是下载
    zzzmh
        21
    zzzmh   78 天前
    讲道理我不懂底层,但我猜测用 chrome,不执行下载到本地的风险文件,不装有风险的权限的插件,应该没那么牛逼能让电脑中毒
    illl
        22
    illl   78 天前   ❤️ 1
    如果存在 xss 和 crsf 漏洞的话还是会有影响的
    sudoy
        23
    sudoy   78 天前
    @zzzmh 我也是这么认为的,现在绝大多数网址都不允许跨域,一些敏感的网址比如银行网址也都做的比较严谨。不过从楼上的评论来看,确实还是有一定风险。一些可疑的邮件还是不要去点开里面的链接。
    CrazyBoyFeng
        24
    CrazyBoyFeng   78 天前   ❤️ 3
    @czfy 下载不会感染,运行才会感染。而运行在沙箱里的程序也触摸不到沙箱之外。
    现代浏览器不通过漏洞没法独立执行用户级进程。ie 从 ie7 开始都是纯沙箱了。
    随着浏览器的更新换代,能被利用的漏洞是稀有的。这类漏洞即便被掌握,其漏洞价值之巨大,一般也只会用来对少数目标进行隐蔽的精准攻击。广泛的无差别攻击难以带来巨大利润,且还会被公众迅速发现后修补掉。
    不推荐用那种内核万年不升级的第三方 chromium 套壳浏览器。
    CEBBCAT
        25
    CEBBCAT   78 天前   ❤️ 1
    @zzzmh #20 不懂可以只看帖不回帖呀,这次你猜错了。我也不懂,但我会 Google 搜索,然后我搜到了这些漏洞:
    CVE-2019-5786: https://www.anquanke.com/post/id/173681
    CVE 2019-5786: https://xz.aliyun.com/t/4502
    Magellan 2.0: https://www.solidot.org/story?sid=63057
    sudoy
        26
    sudoy   78 天前
    @CrazyBoyFeng 谢谢👍
    sudoy
        27
    sudoy   78 天前
    @CEBBCAT 哇,这些资料就很专业了!多谢
    crab
        28
    crab   78 天前
    经历过 IE 浏览器那会网马是真多,最爽的是 0day 在补丁日前流出。
    sudoy
        29
    sudoy   78 天前 via iPhone
    @crab 所以 IE 是用来下载 Chrome 的 😄
    nuistzhou
        30
    nuistzhou   78 天前
    犹记得很多年前 QQ 空间都是可以挂马的。。。
    xxxy
        31
    xxxy   78 天前
    [图片] cve-2020-16016,cve-2020-16017 只要访问黑客控制的网站就能被 rce
    systemcall
        32
    systemcall   77 天前   ❤️ 1
    自从浏览器使用沙箱、插件用 PPAPI 而不是 NPAPI 、默认禁用 Flash 、浏览器以低权限启动,浏览网页就安全得多了
    以前 XP+IE6 的时候,浏览网页中毒的可能性还是挺大的,挂马的方式多得是,甚至服务器也有不少中毒的。NT6 开始有了 UAC,浏览器默认是低权限启动,好了很多。再就是 Chrome 的沙盒,以及后来开始淘汰 NPAPI 、插件也放在沙盒里跑,再就是淘汰 Flash
    sampeng
        33
    sampeng   77 天前 via iPhone
    所以每年的各大浏览器请黑客攻击自己浏览器是好玩嚒…
    lawler
        34
    lawler   77 天前
    以前是攻击,现在是钓鱼。
    loading
        35
    loading   77 天前 via Android
    现在已经很安全了,况且现在盗号什么的都法律上禁止了。
    chocovon
        36
    chocovon   77 天前
    按照木桶原理,大众用户所面临的安全问题其实都不是技术问题,多提个醒总没错
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4358 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 09:53 · PVG 17:53 · LAX 01:53 · JFK 04:53
    ♥ Do have faith in what you're doing.