對於網際網路應用而言,安全是乙個不可忽視的問題。特別是電子商務類應用,更是重中之重。由於目前國內電子商務發展越來越迅猛,很多木馬開始把注意力轉到它上面來。這些木馬往往有乙個很重要的特點就是具有明顯的經濟利益性目的。
根據分析和研究表明,這類木馬通常並沒有使用很高深的技術手段,主要原因就是瀏覽器自身的脆弱性。從os角度來說,瀏覽器是乙個很普通的應用程式,沒有任何保護措施。木馬可以很方便的通過某些方式來篡改瀏覽器資料。
比較常見的一種就是利用msaa技術來直接修改瀏覽器頁面,這種修改只發生在記憶體中,這就是說即使我們檢視當前頁面原始碼,也不會發現任何異常。而實際上頁面已經被修改了。值得關注的是,目前大部分安全防護軟體都不會監視這塊的應用。
msaa是基於com的技術,一般的呼叫模式首先是向瀏覽器視窗傳送wm_html_getobject訊息,然後通過msaa的特有api即objectfromlresult()來取得對應頁面的ihtmldocument2介面。為了方便,一般順便也一起獲取iwebbrowser介面。剩下的工作就比較簡單(但是很繁雜),查詢msdn文件來獲取這兩個介面所支援的操作即可。
完整**就不貼出了,關鍵性**如下(c**):
其中,dom是乙個已經獲取的 ihtmldocument2介面。
請勿將以上**用於非法用途。這段**的execscript方法呼叫後可能返回非s_ok的奇怪結果,原因是atl相關類庫的問題。
通過這個demo可以看到,從某種程度上說網際網路應用的安全是乙個比較嚴峻的問題。我們無法改變瀏覽器脆弱的事實,能改變的是使用者的安全防護意識。如何培養起這個意識,是每個網際網路從業者都應該思考的問題。
**:
二 瀏覽器安全解讀
1 瀏覽器的同源策略,限制了來自不同源的 document 或指令碼對當前 document 讀取或設定某些屬性。同源策略是為了防止瀏覽器的指令碼頁面行為發生混亂。瀏覽器提出 origin 源這一理念,來自不同origin的物件無法互相干擾。2 瀏覽器沙箱 sandbox即是沙箱,設計的目的是為了讓...
瀏覽器安全 漏洞
很早時候瀏覽器安全這個詞就一直在我腦子裡轉,這次接觸瀏覽器安全後發現涉及面之廣超出了我的想象,又想到生而為人不能太貪,又不能不貪 對於知識的需求 所以適當了解做個記錄。安全漏洞的定義 安全漏洞是產品中的乙個弱點,它可能允許攻擊者破壞該產品的完整性,可用性或機密性。源於 好好學英語 安全漏洞三要素 1...
瀏覽器安全機制 Samesite
iframe內嵌其它系統登入頁 開始是可以登陸成功的,過了幾天,突然無法登陸了,而瀏覽器直接訪問內嵌系統,還是正常登入的,這是為什麼呢?看到如下警告資訊 samesite 這可是第一次見,於是查一查 現象火狐可以 chrome版本 80可用問題了解chrome 51 開始,瀏覽器的 cookie 新...