複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/瀏覽器漏洞/9433913
複製
複製成功

瀏覽器漏洞

鎖定
瀏覽器漏洞存在是由於編程人員的能力、經驗和當時安全技術所限,在程序中難免會有不足之處。在設計時未考慮周全,當程序遇到一個看似合理,但實際無法處理的問題時,引發的不可預見的錯誤。
中文名
瀏覽器漏洞
現    狀
最廣泛應用的軟件之一
結    果
都來源於用户對網頁陷阱的瀏覽
原    因
原因
類    型
網絡軟件術語

目錄

  1. 1 簡介
  2. 2 現狀
  1. 3 結果
  2. 4 原因
  1. 5 防護
  2. 6 近期案例

瀏覽器漏洞簡介

黑客們在進行網絡攻擊的時候主要針對的目標不是操作系統,攻擊者緊盯的對象主要是在操作系統中使用的瀏覽器,説微軟的IE瀏覽器處於十面埋伏不為過,電腦黑客經常利用IE瀏覽器漏洞進行病毒攻擊,使不少用户遭受損失。而目前很多瀏覽器都已經有了多種操作系統適用的版本,Windows系統所用的瀏覽器同樣也可被用在其它操作系統中,因此無論你使用的是哪一種操作系統,攻擊者都能在瀏覽器那裏找到突破口。因為目前所有Web瀏覽器都存在各種各樣的漏洞,是黑客最易攻擊的對象之一,常見漏洞及風險”組織(CVE)公報的瀏覽器漏洞就超過300個,每個瀏覽器廠商的產品都有幾十個。
瀏覽器漏洞 瀏覽器漏洞

瀏覽器漏洞現狀

Web瀏覽器是整個網絡環境中最廣泛應用的軟件之一。儘管各廠商不斷努力推出新型的、性能更好、更安全的Web瀏覽器——例如,谷歌公司最近推出了一款名為“Google Chrome”的瀏覽器,微軟公司目前正在測試一個新的、名為“Gazelle”的瀏覽器,然而Web瀏覽器攻擊和漏洞仍不絕如縷。僅2009年一年中,“常見漏洞及風險”組織(CVE)公報的瀏覽器漏洞就超過300個,每個瀏覽器廠商的產品都有幾十個。

瀏覽器漏洞結果

據相關安全專家統計80%的電腦中毒,都來源於用户對網頁陷阱的瀏覽,由此可見網頁攻擊已成為黑客入侵的主要手段之一。而這種攻擊一旦得手,用户電腦就會出現系統運行速度變慢、強制訪問某個網站,默認瀏覽首頁被改,以及瀏覽器標題被改的異常情況。

瀏覽器漏洞原因

有人認為“安全性較高”的火狐就能免疫一切攻擊了嗎?答案是完全相反的,實際上,沒有安裝Flash插件的Chrome或IE8瀏覽器的安全性可能還要更好一些,不過,問題的根本也不在瀏覽器,而在於瀏覽器的插件漏洞!
今天的瀏覽器集成了許多諸如ActiveX、Cookies、Plug-In、Flash Player, Java及 Acrobat Reader等複雜應用軟件插件。這些插件增強了瀏覽器的功能,如處理圖像、用户友好界面和各種各樣的動畫。實際上,很多網站需要用户安裝額外的軟件來支持這些功能。另外,大多數瀏覽器默認設置為自動運行這些捆綁的程序。而除了Web瀏覽器本身,運行每個應用軟件都可能包含額外的缺陷和漏洞,因此又增加了用户的安全風險。
ActiveX
ActiveX是微軟IE使用的插件,這種技術有各種漏洞及運行問題,最近期的漏洞是於去年7月在Microsoft DirectShow Video ActiveX Control 發現,路過式攻擊通過這個漏洞攻陷數千個網站,並令端點設備感染惡意軟件,令公司受到數據外泄的風險。
Java
Java 是一種面向對象的編程語言,用於支持Web的動畫內容,很多使用Java的軟件應用存在安全漏洞,令任意代碼可以入侵,使黑客可以享有用户的使用權限。
插入應用(Plug-ins)
插入應用是Web瀏覽器常用的程序,它們可能有編程及設計破綻,例如跨域名攻擊及緩衝區溢出攻擊等。Adobe Flash Player 就是其中一種去年受到多種攻擊的插件。

瀏覽器漏洞防護

除了使用必要的軟件保護措施,互聯網用户和管理員還應該定期修補和更新他們的瀏覽器,以確保他們使用的是最新版本。瀏覽器插件和相關應用程序都應該定期修補。最終極的保護是用户限制瀏覽器功能和配置安全設置,讓Java小應用程序,JavaScript和VBScript,ActiveX 的控制不要自動運行。這將減少通過功能漏洞攻擊的風險。
IE瀏覽器是每個上網的人都用過的,但同時它也是黑客們最常用來攻擊別人的跳板和工具。瞭解一下這些IE瀏覽器中的漏洞和防治方法,以免各位被人黑了,還矇在鼓裏。
IE5.0在訪問FTP站點時的漏洞(Windows NT系統)
上網時,許多朋友往往會去一些FTP站點上傳一些自己的好東東。但就在你輸入用户名和密碼的同時,你也沒有任何保留地告訴了別人。因為系統把你的用户名和密碼都不加密且以文本的形式直接存儲在歷史紀錄中。他們的具體位置如下:
英文版IE:
c:winntprofiles[username]historyhistory.IE5index.dat和c:winntprofiles[username]historyhistory.IE5mshist...index.dat
中文版IE:
c:winntprofiles[username]cookiesindex.dat
平時,上面所述的目錄只有管理員和目錄所屬用户才有權限可以訪問和修改。但是index.dat是任何人都可以訪問的,是everyone full control permission級的。在“Brpass traverse checking”下的默認權限是分給每一個組的,就是説每個用户都可以訪問別的用户的index.dat文件。
補救措施:
</strong>
1.除administrator之外,將別的用户的Brpass traverse checking權限去掉。
2.將歷史紀錄中的和密碼有關的信息刪除。
3.給每位用户的profile的目錄和文件進行訪問控制設置!只有管理員和所有者才能訪問。
4.上傳的時候,用CuteFTP等軟件完成,不要直接使用IE。
IE5.0 ActiveX漏洞
</strong>
IE5.0中為了增強其自身功能加入了對ActiveX控件的支持,可以創建和複製客户端文件。要是對方不懷好意,存心要黑你,這是一個極其方便的捷徑!黑客可以在IE用户點擊網頁上的超級鏈接時,將html應用文件中的可執行程序放在你的硬盤裏,並將你的註冊表修改掉,使程序在下次重起時自動運行……
補救措施:
</strong>
1.將IE的安全級別設置為高。
2.把ActiveX controls和plug-in關閉。
3.將Active scripting屏蔽掉。
利用IE5.0攻擊系統漏洞:
</strong>
以下有一段針對Windows 98系統HTML代碼,雖然它只不過五行而已,但是如果你瀏覽一下用下面代碼寫成的網頁,那足以讓你的機器死翹翹,如果你正在上網,它將使你跌下網。
瀏覽器漏洞 瀏覽器漏洞
</body>
</html>
利用IE5.0格式化硬盤
</strong>
如果你認為上面的代碼只能讓你死機罷了,沒什麼了不起的!!那麼有的代碼將使你的硬盤資料如大江之水,滔滔東去不復返……(出於安全,代碼略去)
以上是本人知道的一些IE瀏覽器漏洞,希望各位朋友能引起重視,千萬不要被黑客利用,否則損失就大了。

瀏覽器漏洞近期案例

2009年12月一輪名為“極光行動”的網絡攻擊使數十家公司的知識產權受到嚴重侵害,這次事件喚起了人們對互聯網瀏覽器安全的關注。Check Point指出,目前所有Web瀏覽器都存在各種各樣的漏洞,是黑客最易攻擊的對象之一,用户必須提高警惕,謹防千里之堤,潰於蟻穴。