恶意移动代码------浏览器脚本

         我想通过这篇博文，引出几个恶意移动代码中浏览器脚本的经典例子，懂得攻击，才能懂得防守。

         相信有人体验过，打开一个网页的时候，会无限循环弹出一种没有按钮的对话框，而且总是在所有窗口的最前端，关闭它的速度远比不上它无限打开的速度，更多的时候，我们只能按下电脑重启键解决了。

         这就是恶意移动代码的一种--------浏览器脚本。

         首先来说说恶意移动代码，这种代码一般采取比如javascript之类的脚本，或者控件的形式。特点是可以从远程系统下载，而且不需要用户来执行这段代码，它会自动执行（这个跟病毒就有点不同了）。之所以它有这个特点，所以它可以迅速地传遍互联网，加上无需用户执行，这样的攻击方式就很受攻击者的喜欢。

          浏览器脚本是比较流行的一种，一开始我举的那个例子也很经典，它大概就像下面这段网页程序一样。

<html>
<head>
<script type = "text/javascript">

Funtion mali_code()
{
while(1)
{
//打开mail.html对话窗口，进入死循环
showModelessDialog("mail.html");
}
}

</script>
<title>Good Bye!</title>
</head>
//这个页面加载时候，运行此函数
<body onload = "mail_code">
</body>
</html>

                  上面这个程序，通过大量耗尽系统资源直到使应用程序或者整个系统没法应用，也就是无限打开非模式对话框，最后的结果只能是重启电脑了。

           这种攻击方式叫做拒绝服务攻击，防止这样的攻击，我们可以在浏览器上选择禁用脚本，保持浏览器软件或者插件的更新，当然，最重要的是——别去一些乱七八糟的网站。

          下面也是一个很经典的例子，上过网的人应该都试过，你关闭一个网页的时候，浏览器会自动打开一些有广告，游戏，甚至是色情的网页，虽然你点击关闭它就可以了，但是这样的骚扰还是很让人厌烦的！比如家长坐在旁边一起上网，要是自动打开一个色情网页……尴尬了…… 

           下面这个网页程序就是这个例子的一个：

<html>
<title>你没法离开这里了!</title>
//要离开的时候，重载这个界面（自动打开）
<body onunload = "window.open('trap.html')">
</body>
</html>

            这种攻击方式叫做浏览器劫持，首先要清楚，嵌入浏览器的脚本功能是允许开发人员访问URL信息，打开新的网页，或者四处拖动窗口的，恶意脚本正是滥用这些功能，会让你的浏览器自动打开过多的网页，或者让你访问有害的站点，非法增加书签，还可能监控你的浏览活动。

           当然，脚本攻击还有各种方式，所谓防不慎防。比如跨网站脚本攻击，可以监听你在网上购物或者浏览的一些信息，或者盗取银行密码之类的。

           是不是突然觉得网络上很恐怖？恩，恶意攻击者是很没有道德心，我们都应该制止这种行为！不过不用怕，我们也有大量的正义者呢，就是所谓的“网络安全专家”，也是我要研究的计算机的一个方向。既然网络这么危险，不仅要求用户自己要有安全防范意识，网站管理开发人员的防范工作还是更重要的，因为毕竟绝大部分用户没有什么计算机的知识和安全意识，既然攻击者是技术牛人，那我们防范者的技术也不能差啊，就比如外国来进行国土攻击了，我们肯定是派出军队去对战，而不是留给老百姓自己解决。