網頁炸彈

十大常見網頁炸彈全揭密

目前網上流行各種各樣的炸彈，其中網頁炸彈最令人頭痛，因為它們會在我們瀏覽網頁時“爆炸”，輕則當機，重則硬碟被格式化！而許多網路新手對此並不是很了解，覺得很神秘，所以很有必要講一下這個問題，讓我們了解最常見的十種網頁炸彈，以後你就會對它們見怪不怪，了如指掌了！對於菜鳥來說這也是網路安全進階第一步！

註：本文的目的是讓你了解這些網頁炸彈的攻擊原理以及防禦方法，如果有網友亂用這些技術攻擊別人，出現的後果請自負。同時，為了保障安全，本文中的一些代碼我們使用了*號來代替。

同時希望網友加強自己的防範意識，對危險的網頁，不要輕易的點擊。勤打被丁和升級你的安全工具。

一、最無聊的炸彈——死循環代碼

在網頁中加入如下代碼，只要有人點擊你所發出的連結就會不停地打開IE瀏覽器，直至你的系統資源消耗殆盡當機為止！此時你唯一能做的就是重新啟動計算機！

代碼如下：＜img src=*******:location="網址檔案名稱.htm;"＞，註：此代碼是一個“死循環程式”！屬於聊天室炸彈！

預防措施：打IE瀏覽器→工具→Internet選項→安全→Internet→自定義級別，把這裡所有ActiveX控制項和外掛程式都選中“禁止”，選中之後就不會被惡意代碼攻擊！因為這是一個ActiveX腳本程式！

二、令人心有餘悸的炸彈——恐怖的大圖片

製作原理很簡單：在html語言中加入＜img src=“http://恐怖圖片的連線地址”width=“1”height=“******************(很大的數字)”＞即可。當你的IE看到次語句，就會不斷的解析試圖打開，但由於圖片實在是太大了，超出了其處理能力，這樣你的電腦就只有當機一條路可以走了。

三、令你頭昏眼花的炸彈——地震當機代碼

在記事本中輸入如下所示代碼到＜body＞和＜/body＞之間，然後存為任意名字的.html檔案，打開該網頁後會你的IE會發生“地震”，讓你頭昏眼花，接著電腦就會當機！

網頁炸彈

上面這段代碼中的＜img src="c:\con\con"＞會使瀏覽者電腦當機。這是利用了Windows 9x的設備名稱解析漏洞。

漏洞說明：Windows 9X的\con\con設備名稱解析漏洞允許用戶遠程攻擊，導致對方Windows 98系統崩潰。當Windows遇到包含設備名的非法路徑時，Windows會解析這些路徑，此時核心的溢出會導致整個系統出錯。

漏洞解析：我們知道CON是DOS下的特殊設備名，不允許用做檔案名稱，為什麼用CON\CON會引起當機呢？我們把系統轉到DOS下做個試驗就知道了。鍵入如下命令：copy aa.txt con，系統會顯示aa.txt檔案的內容，而如果換成：copy aa.txt ＞con，系統會提示檔案不能拷貝到檔案自身。如果把CON換成LPT或PRN，則輸出aa.txt的內容到印表機。由此可見，CON在這裡代表了檔案的本身，用CON\CON這個命令意味著不斷調用這個檔案自身，使系統資源迅速耗盡而當機。用上面的這個命令只是調用檔案自身，速度實在太快，連按Ctrl+Alt+Del鍵結束的機會都沒有。如果在資源管理器中選擇的是“按WEB頁”查看，那么連預覽該網頁都會當機！

解決辦法：該代碼中的當機部分只對Windows 9x作業系統起作用（如果你的Windows沒有打補丁就會死定了，趕快到微軟的站點下載補丁吧。），也就是說Windows2000/XP用戶不會當機。但“地震”是難免的了。

四、最可怕的炸彈——格式化你的硬碟

部分關鍵代碼如下：

網頁炸彈

當你瀏覽了該網頁，就會把startup.hta檔案悄悄地寫入到你的電腦的C:\Winwods\Start Menu\Programs\啟動資料夾下，並提示你Windows正在移除用不到的臨時檔案。而實際上卻在暗中格式化你的D糟！代碼中的“/autotest”這個微軟未公開的參數使得格式化硬碟時不會出現提示！另兩個參數“/q”和“/u”，使得系統不檢測硬碟便快速、完全的格式化硬碟。最後start.exe再配合“/m”參數就可以使格式化時的DOS-prompt視窗在執行的時候處於最小化的狀態。

代碼中的“F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”對應為“Windows Scripting Host Shell Object”，我們可以在註冊表編輯器中查到它的身影；代碼中的“WSH”的全稱是Windows Scripting Host，是微軟提供的一種基於32位Windows平台的、與語言無關的腳本解釋機制，它使得腳本能夠直接在Windows桌面或命令提示符下運行。WSH所對應的程式wscript.exe是一個腳本語言解釋器，位於Windows所在資料夾下，正是它使得腳本可以被執行，就象執行批處理一樣。

五、與當機無異——頁面凍結代碼

如果網頁中含有下面這些代碼，則當你點擊“提交”按鈕以後，就會出現“頁面被凍結了!”的對話框，然後就會進入頁面凍結狀態，非常討厭。代碼如下：

網頁炸彈

六、讓人心煩的炸彈——不停地打開視窗

這就是本文開篇提到的打開一連串視窗的炸彈，原始碼如下兩種：

1.＜img src="**********:n=1;do{Window.Open(")}while(n==1)"width="1"＞

這個炸彈要求瀏覽器不停地打開新的頁面，用不了多久你的電腦就會當機，這樣你也就被踢出了網路。

2.同樣的原理，原始碼還有這樣的：＜script language="**********"＞javascript:n=1;do{alert("嘿嘿，你小子中彈了！");}while(n==1)＜/SCRIPT＞也是這種類型的炸彈。

七、誘人的美麗——五光十色的炸彈

如果點擊含有下面代碼的網頁時，你的瀏覽器視窗會不停地交替顯示藍色黃色永不終止，就像是藍色火焰，煞是好看，但在欣賞電腦螢幕上美妙動人的現象的同時，你什麼也不能做，只能RESET鍵重新啟動電腦了。原始碼如下：

網頁炸彈

八、讓你眼花繚亂——黑白變幻

下面這段代碼就可以實現黑白變換的效果，令人眼花繚亂，最好的解決辦法就是重新啟動計算機。代碼如下：

九、讓你無法關閉——循環顯示無休無止

如果網頁中含有下面的代碼，則當你點擊該網頁中的“關閉”按鈕以後，就會出現“哈哈，關不掉吧!”對話框，當你點擊“確定”以後還會循環出現此對話框，一直到你累得不得了，它還會出現。你說討厭不討厭？不過，反過來講用來捉摸人也不錯！代碼如下：

網頁炸彈

十、循環彈出多個廣告——彈出多頁面視窗

如果網頁中含有下面的代碼，則當你打開該網頁時會彈出任意多個視窗，沒完沒了的顯示讓你煩惱不已。代碼如下：

網頁炸彈

在本例中會彈出10個視窗，事實上就看對方想讓你打開幾個了，如果是個特大數的話，你的系統資源很快就會占用光，等著當機吧！

其實，還有其他各種類型的炸彈，其原理與上面介紹的這些大同小異，在此就不一一贅述了。

網頁炸彈防範方法

防範方法

1.留意微軟和各大安全網站發布的安全公告，及時了解最新安全動態，封堵住漏洞，如果沒有條件隨時關注這些，至少要及時更新你的瀏覽器，使用最新的、打過各種安全補丁的瀏覽器；

2.安裝防火牆和防毒軟體，並及時更新。

3.事先備份註冊表，如果發現註冊表被修改則導回就能恢復；

4.將本機的FORMAT、DEL、deltree等危險命令改名，如將format.com改為format.old，自己需要使用時再改回來。也可以某些外部命令轉移到其他目錄下；

5.牢記不要瀏覽那些並不了解的網站，也不要在聊天室里點擊其他網友貼出的超級連結，這樣可以避免遭到惡作劇者的攻擊；

6.增強IE“免疫”能力

將系統的網路連線的安全級別設定為“高”，它可以在一定程度上預防某些有害的JAVA程式或者某些ActiveX組件對計算機的侵害。在IE屬性裡面，對其“高級”選項進行配置，取消在瀏覽網頁時的Java功能選項，具體方法是：點擊IE的“工具”選單下的“Internet 選項”，再點擊“安全”選項卡里的“自定義級別”按扭（圖1），把“ActiveX控制項及外掛程式”和Java相關選項都設為禁用，這樣就不怕了。不過，要說明的是這樣做在瀏覽某些網頁時會無法正常瀏覽，如何取捨就看你自己的了。

網頁炸彈

7.靈活應對WSH

由於微軟在IE中增加了WSH(Windows Script Host)的運行腳本，WSH(Windows Script Host)是微軟提供的一種基於32位Windows平台的、與語言無關的腳本解釋機制，它使得腳本能夠直接在Windows桌面或命令提示符下運行。利用WSH，用戶能夠操縱WSH對象、Active對象、註冊表和檔案系統。在Windows 2000下，還可用WSH來訪問Windows NT活動目錄服務。WSH在Internet Explorer 3.0（或以上）提供的Visual Basic Script和Jscript腳本引擎，在帶給人們便利的同時，WSH也為病毒的傳播留下可乖之機。對於已安裝的WSH服務，我們有如下防護措施：

A：刪除腳本檔案。對於Windows 2000和Windows ME，點擊“開始”→“程式”→“Windows資源管理器”→“工具”→“資料夾選項”→“檔案類型”，把滾動條下移找到VBScript和JScript腳本檔案，將其刪除。

對於Windows 98和Windows NT4.0，點擊“開始”→“程式”→“Windows資源管理器”或“Windows NT資源管理器”→“查看”→“選項”→“檔案類型”（圖2），將滾動條下移長到VBScript和JScript腳本檔案，將其刪除。

網頁炸彈

10.防範再次瀏覽惡意網頁

如果以後又不小心進入該站就又得麻煩一次。其實，你可以在IE中做一些設定以便永遠不進該站點。打開IE，點擊“工具”→“Internet選項”→“內容”→“分級審查”，點“啟用”按鈕（圖5），會調出“分級審查”對話框，然後點擊“許可站點”標籤（圖6），輸入不想去的網站網址，按“從不”按鈕，再點擊“確定”即大功告成！

網頁炸彈

網頁炸彈

網頁炸彈