恶意软件文件在下载后自行执行。让我们从 Wikipedia 中的 CryptoLocker 等 勒索软件的角度来看它:
Crypyowall 3.0 使用用 JavaScript 编写的有效负载作为电子邮件附件的一部分,它可以下载伪装成 JPG 图像的可执行文件。
和
广告重定向到使用浏览器插件中的漏洞来下载有效负载的流氓网站。
好的,它可以下载它们,但运行它们怎么样?据我所知,没有服务器端语言可以对客户端执行任何操作,例如运行程序。
注意:我对知道如何运行下载文件的漏洞不感兴趣,据我所知没有服务器端语言可以对客户端执行任何操作,我有兴趣知道是否有办法避免这种情况的行为。
禁用 JavaScript 并不是一个明智的解决方案,因为大多数网站都使用它。
- 有没有办法只为我希望的网站启用 JavaScript,比如白名单(使用 Chrome)?
- 是否可以从 Gmail 的邮件或 Outlook 的邮件中禁用 JavaScript?