浏览器IE5安全漏洞及防护办法 |
|
http://www.sina.com.cn 2001/04/13 14:58 大众网络报 葛顽强 |
|
互联网突飞猛进的发展,使得越来越多的人走向了网络。但当你浏览网站的时候,是否注意到你的浏览器可能会暴露自己的隐私呢? 我们就以大家普遍使用的IE5为对象,为大家介绍一下它的漏洞以及防护的办法。
一、IE在Javascript上的两个漏洞
第一个漏洞
请先看下面的代码
<HTML>
<BOBY>
<SCRIPT>
  ;var color = new Array;
color[1] = "black";
color[2] = "white";
for(x = 0; x <3; x++)
{ document.bgColor = color[x]
if(x == 2)
{
x = 0;
}
}
</SCRIPT>
</BOBY>
</HTML>
略懂JavaScript代码的人都可以看出这是一个错误的死循环。首先程序使用了new操作,创建了一个color数组,然后在下面规定了他们的颜色为“black”和“white”,接下来使用for语句来循环改变color数组的下标,同时也修改document.bgColor(网页背景颜色)的当前值。当一个循环完毕后,程序又令变量x等于2,从而使程序继续循环,最后导致死循环。如果你对这个代码感兴趣的话,不妨把上面的代码保存为以html为后缀的文件,然后使浏览器打开看看效果。不过先提醒你,事先请保存好你的资料,因为当你打开文件后,你的浏览器就会死掉(可以使用Crtl+Alt+Del组合键来关闭这个窗口),如果你的IE5版本过低的话还可能导致你不得不重新启动计算机。
第二个漏洞
IE里的 NavigateComplete2函数不能正确地验证原域。当你访问一台WWW服务器的时候,远端服务器可以调用NavigateComplete2来读取它所知道的路径文件(例如autoexec.bat、注册表、pwl文件、cookie文件等这类默认文件),然后再使用GetObject函数将文件发送到它所指定的服务器上。所有的一切活动都在你所不知道的情况下偷偷完成。
解决办法
点“工具”选择“Internet选项”切换到“安全”选项“自定义级别”,选择禁止执行JAVA脚本程序,如果有些网站需要运行J avaScript的话,可以选择运行前提示。(如图2)
|
|
|
|