it-swarm-korea.com

웹 브라우저에서 스크립팅을 활성화하는 데 따른 위험은 얼마나됩니까?

웹을 탐색하는 동안 많은 웹 사이트는 사용자가 알지 못하는 사이에 실행되는 스크립트 (주로 자바 스크립트)를 실행합니다. 스크립팅이 활성화 된 상태에서 서핑하는 동안 맬웨어를 발견하지 못할 위험은 얼마나됩니까? 얼마나 자세히 설명하기 위해 : 브라우저에서 스크립팅이 CSS 나 이미지와 같은 다른 콘텐츠보다 더 문제가 있습니까? 이 문제는 무엇입니까?

8
Mnementh

확실히 위험이 있습니다. 스크립팅은 기본적으로 브라우저에서 코드를 실행할 수 있습니다. 취약점은 브라우저 기록 읽기에서 악성 코드 설치, 은행 자격 증명 피싱에 이르기까지 다양합니다. 각 취약점은 잠재적으로 어떤 식 으로든 "해를 끼칠"수 있습니다.

그러나 오늘날 대부분의 웹 사이트가 스크립팅에 의존하고 있다는 점을 감안할 때 스크립팅을 끄는 데 막대한 손실이 있습니다. 사이트가 더 이상 브라우저에 표시되지 않을 때까지 포함됩니다. 스크립팅을 꺼도 컴퓨터에 나쁜 일이 발생하는 다른 방법으로부터 보호되지 않으므로 불편에 대한 보상이 엄청나게 높지 않습니다.

아마도 스크립팅의 가장 일반적인 용도는 웹 마스터가 해당 사이트의 웹 마스터가 누가 어떤 페이지에 액세스하는지에 대한 정보를 얻을 수 있도록하여 사이트의 흐름과 제시된 정보를 잠재적으로 개선 할 수있는 분석입니다. 그러나 분석의이면은 광고주가 여러 사이트에서 사용자를 팔로우 할 수있는 타겟팅 광고입니다.

사용 가능한 대부분의 소프트웨어가 "대부분"무해한 것처럼 웹 사이트의 스크립트 대부분은 "대부분"무해합니다. 보안 담당자는 사물의 악의적 인 측면에 초점을 맞추고 사용 성과 보안 사이에 절충안이 있음을 지속적으로 다시 학습합니다.

내가 개인적으로하는 일은 부가 기능 NoScript 및 Ghostery와 함께 Firefox를 사용하는 것입니다. 이 두 가지-특히 NoScript-내가보고있는 페이지에 스크립트를 삽입 할 가능성이 크게 줄어 듭니다. 나는 여전히 어느 시점에서 움츠러 들기를 기대하지만, 내가 가지고있는 도구는 내가 계속주의를 기울이는 한 무슨 일이 일어나고 있는지 알 수있는 합리적인 일을 할 것이다.

11
Shewfig

오늘날 많은 사이트에서 스크립팅을 활성화해야합니다. 그렇지 않으면 사용자가 유용성과 전체 사이트 기능에 문제를 경험할 수 있습니다. 물론, 예를 들어 JavaScript를 비활성화 할 수 있지만 이것이 악용되는 것을 완전히 막지는 못합니다. 또한 Java, Flash, 플러그인 및 추가 기능으로 제공되는 다른 기능을 비활성화해야합니다. 그러나 그것은 오늘날 브라우저를 매우 쓸모 없게 만들 것입니다. 최근 현대 브라우저에는 IE와 같이 보안을 강화해야하는 내장 솔루션이 있습니다. Chrome의 anti-XSS . Firefox의 경우 JavaScript/Flash/Java를 허용하는 사이트 목록을 관리 할 수있는 잘 알려진 확장 " NoScript "가 있습니다. 그러나 이러한 예방 조치조차도 충분하지 않습니다. 그들은 우회되었으며 다음에 언제 다시 언제를 알 수 있습니다. 요즘에는 조심해야합니다. 내 생각에 가장 좋은 해결책은 가상 머신 내부의 Linux 박스에서 인터넷을 서핑하는 것입니다. 그러나 그것은 편안함을 희생합니다.

4
anonymous

Man-in-the-browser가 가장 큰 위험입니다. 보다 효율적인 멀웨어 전송을 가능하게하는 것은 부차적 인 일이라고 말하고 싶습니다.

브라우저 악용 프레임 워크 (BeEF) http://www.bindshell.net/tools/beef/ -와 같은 것들이 구현을 통해 더 나은 설명을 제공해야합니다.

2
atdre

유용성이 0이되면 사람들은 안티 스크립팅 잠금을 우회하는 방법을 찾을 것입니다. 앞서 언급했듯이 NoScript는 특정 사이트에서 스크립트를 실행할 수 있도록하는 정말 멋진 플러그인입니다.

드라이브 바이 다운로드는 정교하지 않은 사용자에게 훨씬 더 큰 위험이 될 수 있습니다. 사용자에게 "업그레이드 필요"라는 가짜 플래시 미디어 플레이어를 표시하기 위해 스크립팅이 필요하지 않으며 사용자가 가짜 "재생 버튼"을 클릭하면 설치 한 악성 코드를 다운로드합니다. 게임 끝.

그리고 플래시는 많은 버퍼 오버 플로우와 취약점을 가지고 있습니다.

0
Bradley Kreider