服务器版的COS系统。
不过论坛的信息技术板块上,有人提出过一个攻击方法,那就是“nop sled”,翻译过来就是“空操作雪橇”。
论文指出,虽然UNIX体系的结果返回地址是随机的,但是只需要在实际的攻击代码前注入很长的nop指令,就可以清出一个很大的空间序列来。
然后还是用之前的缓冲区溢出方式进行攻击,只要将程序的控制流指向该序列任意一处,程序计数器逐步加一,直到到达攻击代码的存在的地址,并执行。
这就类似于将之前一个小小的靶子变成了一个巨大的墙,之前需要将箭射中靶子才能完成攻击,现在只需要将箭射到墙上,箭就会被自动送到墙上挂着的靶子上去。
从程序的执行上来看,这就好像是通过滑雪橇的方式,最终访问到雪橇的终点一样,因此被形象地称为“空操作雪橇”。
这个想法从理论上看是可行的,但是在实际操作中却存在许多难题,首先就是你要有在系统上运行恶意代码的机会。
胡天宇他们经过女娲日志分析,发现是从新版的四叶草浏览器开始中招的。
新版浏览器采用的JAVA核心,为了鼓励大家的研发积极性,四叶草集团还发布了研发工具JDK,包括了Java运行编译环境,以及一堆java的工具和类库,并且在不断地进行扩充。
有了这个,所有的程序爱好者都可以设计出一些嵌入式软件,将之嵌入在自己的主页当中,以便他人访问的时候发现“惊喜”。
以前的浏览器所看到的网页都是静态的,有了这个嵌入式工具后,就能够将一些炫酷的动画、小视频、音乐、动态字体效果嵌入到网页上,获得的效果当然是相当惊人的。
现在论坛上就挂着许多用JAVA开发的“软件皮肤”,几乎年轻人喜欢用的软件如四叶草播放器,扣扣,输入法等,都有专门的工作组开发出各种花里胡哨的皮肤来。
甚至有心大的工作组,都开始打起如WINDOWS,MAC这类大型操作系统的“皮肤”替换主题来。
因为JAVA应用是四叶草公司刚刚推出的研发工具,公司内部程序员和论坛中的程序开发爱好者有着高度的重合度和深化合作,在这样的情况下,就难免会有人将外部论坛上的那些小软件,偷偷安装到单位内部的系统上来。
当然了,一般的软件皮肤这种哄年轻人开心的小噱头还引不起四叶草集团程序员违背公司的制度,但是
本章未完,请点击下一页继续阅读!