ActiveX 暴漏你所有信息的可怕的插件!
-
最近在项目中经常接触ActiveX控件,对于这个名词相信只要是上网看视频的用户一定都会遇到adobe更新或者加载的提示,这就是一个ActiveX控件。一直以为Active控件是处理复杂的页面逻辑提供视频动画展现的和本地环境没有交互的;这两天通过一个简单地<input type="file"/>加深了对他的认识,更加深刻的认识到了他的巨大作用的同时无时无刻不感觉到一把达摩克勒斯剑悬在了头上。
起因:
项目中需要在原有的表单中实现一个图片上传功能B,挺简单的逻辑,但是由于原有的页面也有选择文件上传的按钮A,A是调用另一个第三方控件选择图片,然后在线预览选中的图片但是此控件并不会上传选中的图片,由于不可能让用户选择两次图片,因此需要加入功能B在用户调用A功能的时候就把图片上传上去,第一个想法尝试使用jquery将<input type="file" id="imgPath"> 中的value进行动态赋值,用户调用A的时候就将图片上传,多次尝试后发现这种方法是无法给input 域赋值的,原因是这个类型是只读的,不能赋值,即使给他value设置值也是无效的。原因可以试想一下,如果这个域可以赋值,那么我可以随意赋值一个路径,将用户的数据在未经用户同意的情况下直接上传,多么可怕。难道就没有一个赋值一个路径在未经用户许可的情况下就上传到的方法么?答案是有的,可以通过ActiveX插件,此处以某公司的XX签章产品中的一个功能为例:
var path="D://那个谁.jpg";
obj.putFiles(path,"艳照");
简简单单两句话就能悄悄的将电脑的文件上传到服务器了。试想如果有人刻意将你引诱到某个网页,提示你要加载一个控件,然后让你看半小时的电影,他就可以在后台循环遍历你的电脑 C、D、E各种盘找到敏感的文件进行上传,是不是很恐怖。
为了防止这种情况的发生,浏览器本身有很多限制AxtiveX控件运行的方法,最简单的就是在Internet选项中设置是否启用等信息。更为安全的方法是将需要使用控件的可信网站加入可信站点里面,对于不明确来源的控件不要安装。
ActiveX 暴漏你所有信息的可怕的插件!相关推荐
- 微信信息会经过根服务器么,小心,微信这个功能会把包括你性取向在内的信息暴漏的一览无余!...
这几天,全国各大高校都已经放了暑假,相信不少的小伙伴在假期的时候都会努(wu)力(suo)学(shi)习(shi).这几天,小编回到家后,因为天气炎热就懒得出门.没事就琢磨起了微信这个东西,然而,皇天 ...
- Github 再现失误:部分用户密码明文暴漏
点击上方"CSDN",选择"置顶公众号" 关键时刻,第一时间送达! Github 官方近日承认,由于失误导致一部分用户的密码被以明文的方式暴露了,但只有少数员工 ...
- ES6模块化的引入和暴漏本质
无论什么样的暴露方式,往外暴露的都是一个模块 只不过,暴露的模块形成方式不一样 默认暴露 比如暴漏的是 export default {a:100} 暴露的是一个模块,这个模块里面是以default为 ...
- 初试 Kubernetes 暴漏服务类型之 Nginx Ingress
目录 Ingress 介绍 环境.软件准备 部署 Default Backend 部署 Ingress Controller 部署 Ingress Name based virtual hosting ...
- Kubernetes暴漏服务类型之Nginx Ingress
Kubernetes暴漏服务类型之Nginx Ingress 一.Ingress 介绍 LoadBlancer Service NodePort Service 1.NodePort类型的服务 Ing ...
- 基于SpringBoot监控Java项目,暴漏springboot内置端点
基于SpringBoot监控Java项目的指标 文章目录 基于SpringBoot监控Java项目的指标 监控java项目有哪些方案 springboot内置端口 prometheus 如何使用 sp ...
- k8s——通过暴漏端口实现外部访问服务
通过nodeport暴漏端口 修改nginx-service.yaml文件 apiVersion: v1 kind: Service metadata:name: nginxdeploy spec:t ...
- [k8s]如何处理dockerfile无expose情况下在k8s里暴漏访问
做镜像时候忘记expose端口了, 或者要做一个通用的镜像, expose端口不固定, 又要在k8s环境里跑并暴漏服务访问,怎么破? 实际上: yaml的ports:- containerPort: ...
- TPLinker实体关系抽取新范式TPLinker:单阶段联合抽取,并解决暴漏偏差~
https://zhuanlan.zhihu.com/p/342300800(https://zhuanlan.zhihu.com/p/342300800) https://zhuanlan.zhih ...
最新文章
- MyBatis 之 动态SQL
- ISA2004 发布内部TCP/IP打印机
- php根据浏览器调用支付_Android通过外部浏览器调用微信H5支付,Android+PHP详解
- python3.5和3.7可以共存吗_centos7下Python和python3共存
- python去年软件排行_2017年编程语言排行榜,Python位居榜首(C语言需求最大)
- Hadoop资源调度器
- python从入门到精通-Python从入门到精通,跟着《这本书》学就够了?
- kafka报错 WARN Session 0x0 for server null, unexpected error, closing socket connection
- 姿态估计之Yaw Pitch Roll
- phpstudy php乱码,PHP_完美解决PHP中文乱码,一.首先是PHP网页的编码 1. php - phpStudy...
- counter计数器
- IDEA中Tomcat在控制台乱码问题以及IDEA编码设置UTF-8
- 关于linux fc多路径巡检
- 维智创始人陶闯博士:利用数字孪生空间计算供需平衡寻找最优解|元宇宙与碳中和
- Thinkphp内核SEO按天关键词计费排名查询系统源码
- java如何找出勾股数组_勾股数组 学习笔记
- 计算机点击应用时总是跳到顶端,电脑总是跳出当前应用程序
- jdk8+Windows10安装及环境变量配置
- 5G标准化进程加速:高通下半年启动新空口试验及互操作性测试
- Facade 门面 —— Mediator 调停者