以下的文章主要講述的是防不勝防的JavaScript版盜夢空間，影片《盜夢空間》主要講述的是一個(gè)心理駭客入侵催眠者的夢境，把存在記憶中的寶貴信息偷走的一個(gè)過程，甚至植入“記憶木馬”，當(dāng)然，后者需要“匯編級”的操作，一不小心，就會導(dǎo)致雙方大腦“宕機(jī)”。

影片《盜夢空間》告訴我們一個(gè)心理駭客如何入侵催眠者的夢境，偷走只存在于記憶中的寶貴信息，甚至植入“記憶木馬”，當(dāng)然，后者需要“匯編級”的操作，一不小心，就會導(dǎo)致雙方大腦“宕機(jī)”。而且，為了讓木馬不發(fā)生排異反應(yīng)，心理駭客需要精心設(shè)計(jì)，連環(huán)布局并深入三重夢境，才能突破“夢主”的理性防線，對于今天的網(wǎng)絡(luò)黑客來說，從戒備森嚴(yán)，裝備防塵罩、高壓電和報(bào)警器的籠子里抓獲我們這些“肉雞”，需要的手段之精妙巧詐，絲毫不輸于《盜夢空間》…

作者：趨勢科技資深網(wǎng)絡(luò)威脅研究員 David Sancho 編譯：Mirko Liu

今天，一封身手了得的垃圾郵件突破重重過濾，在我的收件箱里“觸地得分”。

標(biāo)題下面的信息只有短短的一句話和一條縮寫的超鏈接（類似新浪微博上的URL縮寫格式）。句子是西班牙語寫成的，垃圾郵件過濾器對此顯然頗為頭大。這是這封垃圾郵件第一個(gè)值得稱道的戰(zhàn)術(shù)——簡潔。我的老師們曾強(qiáng)調(diào)過，簡潔總是強(qiáng)過冗長。顯然老師們是無比正確的，雖然他們討論的并非垃圾郵件。

接下來，縮寫URL形式對用戶造成的眩暈顯然還不是這封信的主要目的，問題在于，這條縮寫URL指向的是博客空間站blogspot。眾所周知，Blogspot是一家免費(fèi)的博客空間服務(wù)商，但經(jīng)常被垃圾郵件制造者用來做“跳板”將流量導(dǎo)向真正的垃圾終點(diǎn)站，例如那些販賣假勞力士的網(wǎng)站。也許大家會問，垃圾郵件制造者怎么能操縱Blogspot成為其跳板的？經(jīng)過該blogspot博客網(wǎng)頁HTML代碼的快速分析，不難發(fā)現(xiàn)背后的網(wǎng)絡(luò)罪犯是個(gè)善用JavaScript的高手。

圖一：垃圾郵件樣本

圖二：垃圾郵件的最終目的地網(wǎng)站（賣假表假包的網(wǎng)站）

問題的根源在于，Blogspot允許用戶在他們的博客中插入Javascript代碼！這相當(dāng)于對入侵者發(fā)出了邀請函。

這件事告訴我們一個(gè)基本事實(shí)，壞蛋們能通過多重手法擾亂防御系統(tǒng)，并從漏洞中閃身而入，予取予求。同時(shí)也再次說明了JavaScript的強(qiáng)大，尤其是在壞人手中，能迸發(fā)出極大的破壞力。這再次給我敲響警鐘，不要在個(gè)人通訊工具中啟用JavaScript。潛在的危險(xiǎn)還不僅與此，隨著跨站腳本（Cross-site scripting），跨站請求假冒（Cross-site request forgery），以及其他基于JavaScript的web欺詐技術(shù)不斷成熟，BlogSpot以及其他類似的web2.0網(wǎng)站應(yīng)當(dāng)盡快關(guān)閉JavaScript植入功能。

以上的相關(guān)內(nèi)容就是對防不勝防的JavaScript版盜夢空間的介紹，望你能有所收獲。