如何通过查看网站或打开电子邮件来获取病毒?

789*_*890 4 html javascript email virus

每个人都知道有些网站只是通过查看它们可能会损害您的计算机,或者某些电子邮件可以通过阅读它们向您的所有朋友发送邮件或收集有关您的信息.

这怎么可能?每个站点都只是简单的HTML,CSS和JS,它们不能对计算机进行任何永久性更改(除了cookie,但这不会伤害你,可以吗?)所以我怎么能得到病毒?

如果我点击广告,我该如何获取病毒?下载自动运行程序的链接?

这些事情是如何完成的?什么编程语言?

T.J*_*der 8

通常,这些向量的工作方式是利用用于读取/呈现HTML,CSS和JavaScript的软件中的缺陷.在一个完美的世界中,拥有完美安全的浏览器/电子邮件程序以及完美的沙盒,那么您只需查看页面或电子邮件就无法在计算机上加载病毒.但我们并没有生活在那个完美的世界里.

一个例子是"缓冲区溢出"漏洞:攻击者花费大量时间和精力来发现某个特定程序将某些资源(例如CSS游标)加载到缓冲区,而无法检查资源是否足够小以至于适合缓冲区.因此程序将字节写入超出缓冲区末尾的位置.缓冲区经常出现在堆栈中,因此覆盖它们可能会覆盖函数调用的返回地址等内容.如果您正确地制作数据,则可以将返回地址跳转到您正在加载的资源数据中的指令.此时,所有赌注都关闭,攻击者可以运行嵌入在该资源中的任意机器代码.

其他向量涉及沙箱中的漏洞,页面上的JavaScript运行在沙箱中.