JavaScript 版本的 Inception 为何如此防不胜防？

下面这篇文章主要讲的是不可预知的JavaScript版本的Inception。电影《盗梦空间》主要讲的是心理黑客侵入催眠师的梦境并盗取记忆中有价值信息的过程，甚至植入“记忆木马”，当然需要“汇编级”操作。一不小心，就会导致双方大脑“崩溃”。 影片《盗梦空间》讲述了心理黑客如何侵入催眠师的梦境，窃取只存在于记忆中的珍贵信息，甚至植入“记忆木马”。当然，后者需要“汇编级”操作，仅此而已。稍有不慎，就会导致双方大脑“崩溃”。而且，为了防止木马产生拒绝反应，心理黑客需要精心设计、连锁布局、深入三重梦境世界，才能突破“梦主”的理性防线。对于如今的网络黑客来说，必须重重戒备，配备防尘设备。把我们这些“肉鸡”关在带罩子、高压电和警报器的笼子里，需要复杂而狡猾的方法，不亚于《盗梦空间》…… 作者：David Sancho，趋势科技高级网络威胁研究员 编译器：Mirko Liu 今天，一封巧妙的垃圾邮件突破了所有过滤器，进入了我的收件箱。 标题下的信息只是一个简短的句子和一个缩写的超链接（类似于新浪微博上的URL缩写格式）。该句子是西班牙语，这显然困扰了垃圾邮件过滤器。这是该垃圾邮件的第一个值得称赞的策略——简单。我的老师曾经强调简洁总是比冗长好。显然，老师们是绝对正确的，尽管他们没有谈论垃圾邮件。 接下来，缩写URL形式给用户带来的头晕显然不是这封信的主要目的。问题在于这个缩写 URL 指向博客空间 blogspot。众所周知，Blogspot是一个免费的博客空间服务提供商，但它经常被垃圾邮件发送者用作“跳板”，将流量引导到真正的垃圾邮件目的地，例如销售假冒劳力士的网站。您可能会问，垃圾邮件发送者如何操纵 Blogspot 成为他们的跳板？快速分析blogspot博客页面的HTML代码后，不难发现其背后的网络犯罪分子是一位JavaScript高手。 图 1：垃圾邮件样本 图2：垃圾邮件的最终目的地网站（销售假表、假包的网站） 问题的根源在于 Blogspot 允许用户将 Javascript 代码插入他们的博客！这是对入侵者的邀请。 这次事件告诉我们一个基本事实：不法分子可以通过多种方式破坏防御系统，钻空子潜入，为所欲为。同时，它也再次说明了JavaScript的强大，尤其是在坏人手中，它能爆发出巨大的破坏力。这再次给我敲响了警钟，不要在个人通讯工具中启用 JavaScript。潜在的危险还不仅限于此。随着跨站脚本、跨站请求伪造等基于 JavaScript 的网络欺诈技术不断成熟，BlogSpot 等类似的 web2.0 技术不断涌现。 0 网站应尽快关闭JavaScript植入功能。 以上相关内容是对不可预知的JavaScript版本Inception的介绍。希望你能有所收获。