V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
sudoy
V2EX  ›  问与答

浏览网页有可能中木马或者病毒吗?

  •  
  •   sudoy · 2020-12-17 14:05:03 +08:00 · 4991 次点击
    这是一个创建于 1440 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有时候工作中收到一些带有链接的可疑邮件,我一般会提醒同事收到可疑的邮件不要点开里面的链接。作为一个业余开发者,今天忽然想认真研究下,到底单纯打开个网址,会不会造成中毒或者中木马?使用的设备包括 PC 和手机( iOS 和安卓)。我目前偶尔会开发一些 chrome 插件(未打包的那种),给公司内部使用,但对 JavaScript 和 chrome 浏览器的知识还算很浅。先行谢过!

    36 条回复    2020-12-18 16:44:04 +08:00
    ysc3839
        1
    ysc3839  
       2020-12-17 14:09:45 +08:00
    论可能性的话那当然是可能的,浏览器有可能存在漏洞。
    ysc3839
        2
    ysc3839  
       2020-12-17 14:12:26 +08:00   ❤️ 1
    举个典型的例子,运行 iOS 9.1 - 9.3.4 的 32 位设备可以通过网页来越狱 http://www.jailbreak.me/
    FlyingShark
        3
    FlyingShark  
       2020-12-17 14:19:01 +08:00
    SVG 还有 PDF 相关的漏洞是有的,微信 webview 也出过漏洞
    LiYanHong
        4
    LiYanHong  
       2020-12-17 14:20:51 +08:00   ❤️ 1
    楼主没经历过 ie6 年代吗
    不过现代浏览器除了第三方插件和本身的漏洞,中毒可能性很小
    CrazyBoyFeng
        5
    CrazyBoyFeng  
       2020-12-17 14:30:39 +08:00   ❤️ 2
    一般情况下,除非使用的是 ie 这种古代浏览器,现代浏览器都是沙箱环境,javascript 接触不到本地文件。
    czfy
        6
    czfy  
       2020-12-17 14:41:46 +08:00   ❤️ 1
    如果浏览网页不会中木马或者病毒,以前的木马或病毒都怎么传播?
    U 盘传播那也得你插上的电脑已经中毒,最开始肯定是通过网络传播的啊..

    只是现在不像以前,木马 /病毒少见了,不过最近最有名的当属勒索病毒
    WeaPoon
        7
    WeaPoon  
       2020-12-17 14:48:32 +08:00   ❤️ 1
    会,只是现在可能性比较低,除非发现重大漏洞。以前网马可是很盛行的,下载 exe 和执行,有能利用的 0day 就等于看到了钱。
    cmdOptionKana
        8
    cmdOptionKana  
       2020-12-17 14:53:35 +08:00
    有可能,但可能性极低,低到可以忽略。

    打个比喻,过马路(即使遵守交通规则并很小心)有可能被车撞吗,有,但绝大多数情况下我们在实践中都忽略这个极低的可能性,当作不会被撞来处理就行了。
    interim
        9
    interim  
       2020-12-17 15:06:42 +08:00   ❤️ 1
    Chromium 有沙箱机制,还是以最低权限运行的,macos 还有一层应用沙箱,突破沙箱还要提权...除非有 0 day
    大规模使用 0 day 在普通人身上并不值,我认为普通人几乎没有可能遇到。
    cmostuor
        10
    cmostuor  
       2020-12-17 15:20:39 +08:00
    @chnyuwen 在普通的人能用得起电脑的家庭在怎么着家里都是有点储蓄的 而且把不是很多人都会有安全意识也很容易被欺骗 就程序员里有安全意识的都没多少何况什么技术都不懂的普通人。。。省去一堆巴拉巴拉的废话 在安全的机制或软件都抵不过一个愚蠢的人做的不安全的操作
    ifxo
        11
    ifxo  
       2020-12-17 15:24:21 +08:00   ❤️ 1
    现在只要用最新的浏览器,就不可能中毒,打开网页只可能被钓鱼
    lixuda
        12
    lixuda  
       2020-12-17 15:52:36 +08:00   ❤️ 1
    应该防的是打开网页后的操作,钓鱼,打开了下载文件等等
    sudoy
        13
    sudoy  
    OP
       2020-12-17 15:54:55 +08:00
    谢谢各位回复!总结下就是,用现代的浏览器浏览网页中毒和木马可能性极低,倒是被钓鱼的可能性更大些。
    sudoy
        14
    sudoy  
    OP
       2020-12-17 15:57:07 +08:00
    @czfy 我认为那是会下载文件(比如可执行文件)到本地电脑,诱导点击以后中毒的吧,单单浏览网页没有下载任何东西到本地的情况下,应该还是很难中毒的。
    czfy
        15
    czfy  
       2020-12-17 15:59:53 +08:00   ❤️ 1
    @sudoy 浏览行为本身就可以带来“下载”和感染,因为浏览本身就是本地电脑和服务器数据交换的过程,网站挂马也是访问即感染,不存在主动可感知的下载
    wysnylc
        16
    wysnylc  
       2020-12-17 16:07:07 +08:00   ❤️ 1
    以前有,现在少
    FlyingShark
        17
    FlyingShark  
       2020-12-17 16:26:00 +08:00   ❤️ 1
    @sudoy 会的,不需要下载,现代浏览器依然存在浏览即执行恶意代码的情况,浏览器有解析漏洞,再配合沙箱逃逸 0day 漏洞,可以实现提权。 不过你放心,现在已经很少了,用户只要及时升级浏览器即可。
    sudoy
        18
    sudoy  
    OP
       2020-12-17 16:27:53 +08:00
    @czfy 访问即感染!听起来挺可怕的,不过我还是不大明白。老的 IE 浏览器我不大熟悉,但是现代的浏览器比如 Chrome,哪怕是他在页面加载的时候就运行谋个下载动作,那 chrome 也会提示下载东西吧。感染就更不理解了,您说的是利用浏览器漏洞吧,单单 HTML/JavaScript,在 chrome 自带的沙箱的前提下,我很难想象能感染到本地文件。
    sudoy
        19
    sudoy  
    OP
       2020-12-17 16:28:33 +08:00
    @FlyingShark 谢谢解答!
    czfy
        20
    czfy  
       2020-12-17 16:33:24 +08:00   ❤️ 1
    @sudoy 现代浏览器沙箱确实可以在一定程度上防范过往的木马 /病毒,但是实际上你打开网页就是把网页数据传输到你的本地啊...不是说只有下载文件才是下载
    zzzmh
        21
    zzzmh  
       2020-12-17 16:34:33 +08:00
    讲道理我不懂底层,但我猜测用 chrome,不执行下载到本地的风险文件,不装有风险的权限的插件,应该没那么牛逼能让电脑中毒
    illl
        22
    illl  
       2020-12-17 16:41:31 +08:00   ❤️ 1
    如果存在 xss 和 crsf 漏洞的话还是会有影响的
    sudoy
        23
    sudoy  
    OP
       2020-12-17 16:53:06 +08:00
    @zzzmh 我也是这么认为的,现在绝大多数网址都不允许跨域,一些敏感的网址比如银行网址也都做的比较严谨。不过从楼上的评论来看,确实还是有一定风险。一些可疑的邮件还是不要去点开里面的链接。
    CrazyBoyFeng
        24
    CrazyBoyFeng  
       2020-12-17 16:56:43 +08:00   ❤️ 3
    @czfy 下载不会感染,运行才会感染。而运行在沙箱里的程序也触摸不到沙箱之外。
    现代浏览器不通过漏洞没法独立执行用户级进程。ie 从 ie7 开始都是纯沙箱了。
    随着浏览器的更新换代,能被利用的漏洞是稀有的。这类漏洞即便被掌握,其漏洞价值之巨大,一般也只会用来对少数目标进行隐蔽的精准攻击。广泛的无差别攻击难以带来巨大利润,且还会被公众迅速发现后修补掉。
    不推荐用那种内核万年不升级的第三方 chromium 套壳浏览器。
    CEBBCAT
        25
    CEBBCAT  
       2020-12-17 17:01:57 +08:00   ❤️ 1
    @zzzmh #20 不懂可以只看帖不回帖呀,这次你猜错了。我也不懂,但我会 Google 搜索,然后我搜到了这些漏洞:
    CVE-2019-5786: https://www.anquanke.com/post/id/173681
    CVE 2019-5786: https://xz.aliyun.com/t/4502
    Magellan 2.0: https://www.solidot.org/story?sid=63057
    sudoy
        26
    sudoy  
    OP
       2020-12-17 17:02:21 +08:00
    @CrazyBoyFeng 谢谢👍
    sudoy
        27
    sudoy  
    OP
       2020-12-17 17:07:05 +08:00
    @CEBBCAT 哇,这些资料就很专业了!多谢
    crab
        28
    crab  
       2020-12-17 17:12:22 +08:00
    经历过 IE 浏览器那会网马是真多,最爽的是 0day 在补丁日前流出。
    sudoy
        29
    sudoy  
    OP
       2020-12-17 17:15:01 +08:00 via iPhone
    @crab 所以 IE 是用来下载 Chrome 的 😄
    nuistzhou
        30
    nuistzhou  
       2020-12-17 17:16:59 +08:00
    犹记得很多年前 QQ 空间都是可以挂马的。。。
    xxxy
        31
    xxxy  
       2020-12-17 17:21:36 +08:00
    [图片] cve-2020-16016,cve-2020-16017 只要访问黑客控制的网站就能被 rce
    systemcall
        32
    systemcall  
       2020-12-17 18:27:50 +08:00   ❤️ 1
    自从浏览器使用沙箱、插件用 PPAPI 而不是 NPAPI 、默认禁用 Flash 、浏览器以低权限启动,浏览网页就安全得多了
    以前 XP+IE6 的时候,浏览网页中毒的可能性还是挺大的,挂马的方式多得是,甚至服务器也有不少中毒的。NT6 开始有了 UAC,浏览器默认是低权限启动,好了很多。再就是 Chrome 的沙盒,以及后来开始淘汰 NPAPI 、插件也放在沙盒里跑,再就是淘汰 Flash
    sampeng
        33
    sampeng  
       2020-12-17 18:33:27 +08:00 via iPhone
    所以每年的各大浏览器请黑客攻击自己浏览器是好玩嚒…
    lawler
        34
    lawler  
       2020-12-17 21:42:25 +08:00
    以前是攻击,现在是钓鱼。
    loading
        35
    loading  
       2020-12-17 22:00:28 +08:00 via Android
    现在已经很安全了,况且现在盗号什么的都法律上禁止了。
    chocovon
        36
    chocovon  
       2020-12-18 16:44:04 +08:00
    按照木桶原理,大众用户所面临的安全问题其实都不是技术问题,多提个醒总没错
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1453 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:32 · PVG 01:32 · LAX 09:32 · JFK 12:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.