iT邦幫忙

22

把瀏覽器的JavaScript和ActiveX的執行全部停用,是否就能真正杜絕網頁威脅?

ithelp 2008-02-04 17:24:4712399 瀏覽
  • 分享至 

  • xImage
  •  

許多網頁威脅的產生都跟惡意程式有關,正因為網頁瀏覽器具有執行程式碼的能力,為了正本清源、堅壁清野,如果我們把瀏覽器的JavaScript、Java和ActiveX的執行設定全部停用、不允許執行,是否就能真正杜絕網頁威脅?
就現今網頁威脅來看,網頁威脅的種類非常多樣性,理論上講,基於Web的威脅可被分為三類:一、行為:例如惡意網站和不需要的應用程式,二、產品與種類:不恰當的內容,例如網路釣魚網站,三、程式:例如,間諜軟體惡意程式。

要威脅瀏覽網頁的使用者,並非只能透過JavaScript和ActiveX,只要是跟網頁應用有關,一旦只要被有心人士利用,都會造成瀏覽用戶的安全問題,簡單舉幾個例子:

  1. IFrame標籤: IFrame標籤會在一個沒有設定frame的網頁中央,建立一個浮動的frame,將瀏覽者導向其他惡意網站或將其他網站內容插入網頁當中,瀏覽者不容易察覺,下載並植入後門或木馬程式而不自知。

  2. 修改或攔截Cookie: Cookie是網站用來確認身份與記錄敏感性(如密碼)個人資料的檔案,有心人士可以通過網路竊聽(sniffer)來攔截它,使用它來跟網站伺服器溝通,竊取瀏覽網站使用者的機密資料。

  3. 網頁上的圖檔:在之前微軟的圖形裝置介面JPEG處理程式中,當瀏覽者載入一張JPEG的圖檔時,處理程式並沒作足邊界檢查,造成了整數溢位的情形,所以當惡意人士讓瀏覽者打開惡意的圖檔時,攻擊者就可以用和使用者相同的權限,能執行任意的指令。

  4. 網頁下載或要求瀏覽者安裝瀏覽網頁需要的程式:自網頁下載的程式有可能為有心人士所存放的惡意程式,而安裝瀏覽網頁需要的程式也可能是木馬或後門程式。

  5. 電子郵件 : 有心人士可以透過電子郵件內嵌網頁或多媒體檔案,藉由上述的手法如IFrame標籤或惡意圖檔,不管使用者是否關閉JavaScript或ActiveX的功能,皆可造成使用者安全上的威脅。

  6. 瀏覽器本身的軟體弱點及漏洞: 利用瀏覽器程式在處理網頁語法或網頁物件時,針對程式處理的缺陷來執行惡意程式或操控系統。

  7. CSS attack: 此CSS並非Cross-Site Scripting而是(Cascading Style Sheet),是較新的攻擊手法,目前有兩種方式:
     CSS overlays:利用IFrame + CSS,只顯示部分的內容,讓使用者去誤點某些不安全的操作。
     Submit buttons:把submit button的border拿掉、改字體,讓它看起來像普通的link,讓瀏覽者不疑有他,點擊連到其他惡意網站。

  8. 網路釣魚: 典型的網路釣魚騙局多以線上金融交易用戶為對象,網路釣魚攻擊利用偽造的網站來欺騙受害者,並藉此獲取受害者的個人金融資料,像是信用卡號、帳戶名稱及密碼等。

  9. 網址嫁接: 是指不法駭客將網際網路流量,從原本的網站重新導引至另一個看似相同的網站,誘騙人們將使用者名稱及密碼輸入到該偽造網站的資料庫中。銀行或相關金融網站常是這類攻擊的對象,不法駭客試圖從中竊取個人資訊,用來存取他人的銀行帳戶、盜用身分,或冒名犯下其他類型的詐騙案。

  10. SSL攻擊:利用SSL軟體設計上的弱點,如微軟IE實作SSL上的問題,讓惡意網站可以假冒不合法的憑證,將瀏覽者的SSL連線導向到惡意網站。

  11. 網頁上的多媒體檔案,如RealPlayer、Windows Media Player、Marcomedia Flash Player等都有相關的軟體弱點,可以讓有心人士利用,對於網頁瀏覽者造成安全上的威脅。


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
john651216
iT邦研究生 1 級 ‧ 2008-03-30 11:55:02

只會杜絕一部分的威脅,使用者要隨時保持高度警戒才會有比較高的安全性

0
skite
iT邦大師 5 級 ‧ 2008-03-30 14:36:25

雖然都停用可以減少許多被惡意程式攻擊的機會,不過瀏覽網站時也會帶來許多的不便,我個人是認為不用因噎廢食啦,還是以建立完整的防火牆等安全機制來防堵比較恰當。

0
john651216
iT邦研究生 1 級 ‧ 2008-04-20 12:17:22

謝謝分享

0
5min
iT邦好手 3 級 ‧ 2008-04-20 17:04:44

謝謝分享

0
海綿寶寶
iT邦大神 1 級 ‧ 2008-04-24 18:47:02

不要上網更安全

0
skite
iT邦大師 5 級 ‧ 2008-04-25 11:12:46

antijava的答案真是太棒啦! XD
不過好像不要用電腦也滿安全的哩… 呵呵

0
misadm
iT邦高手 10 級 ‧ 2008-04-25 11:21:10

不是有哪天是無車日嗎?我記得台北市好像還辦過車子不可以進城!

那我們來搞個『無電腦日』好了!就是當天大家電腦都不要開機!這樣也可以當作安全日囉!!

0
kenchen2003
iT邦新手 5 級 ‧ 2008-04-25 12:47:29

好耶我贊成那一天的到臨
大家回歸到最原始的人工作業

0
yce701116
iT邦研究生 1 級 ‧ 2008-04-25 17:51:49

感謝分享資訊

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-26 16:42:40

感謝提供分享

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-15 02:33:16

謝謝分享

0
jamesjan
iT邦高手 1 級 ‧ 2008-08-16 09:07:35

防不勝防啊
還是要養成良好習慣,不要因好奇心隨意開啟不明的網頁與郵件
善用瀏覽器外掛程式來防制動機不良網頁

0
fantasy
iT邦新手 4 級 ‧ 2008-09-07 14:17:56

真的不想中毒,可以考慮安裝一張還原卡或蓮花卡
每次重開機後,系統自動還原到所設定的原始狀態
當然它並不保證硬碟裡面沒有病毒\
也無法避免開機後使用過程當中避免中毒
但至少可以確保每次開機都是一個乾淨的環境
(幾乎啦,除非中了BIOS病毒)

0
xxxyyyzzz
iT邦研究生 1 級 ‧ 2009-01-12 09:28:25

謝謝分享

0
gkkangel
iT邦好手 1 級 ‧ 2009-02-05 09:00:42

感謝分享資訊

我要留言

立即登入留言