当前页面: 开发资料首页 → Javascript 专题 → 如何不让网站修改你的注册表
如何不让网站修改你的注册表
摘要: 如何不让网站修改你的注册表
最近发现很多网友发表用javascript修改用户注册表的代码, 同时一些网站为将自己设为用户browser的home page或IE的标题, 故意使用这种代码. 在次, 我将向大家介绍,如何防止被网站修改了你的注册表.
首先让我们来看一下网站修改注册表的javascript code.
-----------------------------------------------------------------------------------------------------
<script>
//初始化actiVex控件
document.write("
-----------------------------------------------------------------------------------------------------
大家会注意到, 这段代码首先会将com.ms.activeX.ActiveXComponent写到page中去,然后通过它来创建对{0d43fe01-f093-11cf-8940-00a0c9054228}即WScript.Shell的引用,所以问题的关键点就是javascript能在网页中使用com.ms.activeX.ActiveXComponent作为applet. 而com.ms.activeX.ActiveXComponent是Microsoft设计出来在Java Application和签名的可信任applet中使用的, 它本身不应该被作为applet在javascript中使用.这是Microsoft的Java VM的一个漏洞, 这个漏洞将会影响以下一些版本的VM:
1. builds 版本 2000 系列
2. builds 版本 3100 系列
3. builds 版本 3200 系列
4. builds 版本 3300 系列
大家可以在命令行输入jview, 看到version x.xx.xxxx中的xxxx就是你的builds号.
针对这个漏洞, Microsoft给出了响应的补丁, 请到
http://www.microsoft.com/java/vm/dl_vm40.htm
去下栽安装最新版的VM.
关于此漏洞的详细描述请看Microsfot的Knowledge base:
http://support.microsoft.com/support/kb/articles/Q275/6/09.ASP?LN=EN-US
最近, Microsoft在browser, email和IIS方面发现很多严重漏洞, 大家一定要经常的它的http://windowsupdate.microsoft.com/站点去看看有没有新的补丁要打. 很多病毒和黑客程序都是利用用户的麻痹大意来攻击.
</td>
</tr>
<tr>
<td vAlign=top align=left height="100%">
↑返回目录
前一篇: 抓住网页恶意代码的"黑手"
后一篇: 一个javascript脚本写的俄罗斯方块