以下的文章主要講述的是防不勝防的JavaScript版盜夢空間，影片《盜夢空間》主要講述的是一個心理駭客入侵催眠者的夢境，把存在記憶中的寶貴信息偷走的一個過程，甚至植入“記憶木馬”，當然，后者需要“匯編級”的操作，一不小心，就會導致雙方大腦“宕機”。

影片《盜夢空間》告訴我們一個心理駭客如何入侵催眠者的夢境，偷走只存在于記憶中的寶貴信息，甚至植入“記憶木馬”，當然，后者需要“匯編級”的操作，一不小心，就會導致雙方大腦“宕機”。而且，為了讓木馬不發生排異反應，心理駭客需要精心設計，連環布局并深入三重夢境，才能突破“夢主”的理性防線，對于今天的網絡黑客來說，從戒備森嚴，裝備防塵罩、高壓電和報警器的籠子里抓獲我們這些“肉雞”，需要的手段之精妙巧詐，絲毫不輸于《盜夢空間》…

作者：趨勢科技資深網絡威脅研究員 David Sancho 編譯：Mirko Liu

今天，一封身手了得的垃圾郵件突破重重過濾，在我的收件箱里“觸地得分”。

標題下面的信息只有短短的一句話和一條縮寫的超鏈接（類似新浪微博上的URL縮寫格式）。句子是西班牙語寫成的，垃圾郵件過濾器對此顯然頗為頭大。這是這封垃圾郵件第一個值得稱道的戰術——簡潔。我的老師們曾強調過，簡潔總是強過冗長。顯然老師們是無比正確的，雖然他們討論的并非垃圾郵件。

接下來，縮寫URL形式對用戶造成的眩暈顯然還不是這封信的主要目的，問題在于，這條縮寫URL指向的是博客空間站blogspot。眾所周知，Blogspot是一家免費的博客空間服務商，但經常被垃圾郵件制造者用來做“跳板”將流量導向真正的垃圾終點站，例如那些販賣假勞力士的網站。也許大家會問，垃圾郵件制造者怎么能操縱Blogspot成為其跳板的？經過該blogspot博客網頁HTML代碼的快速分析，不難發現背后的網絡罪犯是個善用JavaScript的高手。

圖一：垃圾郵件樣本

圖二：垃圾郵件的最終目的地網站（賣假表假包的網站）

問題的根源在于，Blogspot允許用戶在他們的博客中插入Javascript代碼！這相當于對入侵者發出了邀請函。

這件事告訴我們一個基本事實，壞蛋們能通過多重手法擾亂防御系統，并從漏洞中閃身而入，予取予求。同時也再次說明了JavaScript的強大，尤其是在壞人手中，能迸發出極大的破壞力。這再次給我敲響警鐘，不要在個人通訊工具中啟用JavaScript。潛在的危險還不僅與此，隨著跨站腳本（Cross-site scripting），跨站請求假冒（Cross-site request forgery），以及其他基于JavaScript的web欺詐技術不斷成熟，BlogSpot以及其他類似的web2.0網站應當盡快關閉JavaScript植入功能。

以上的相關內容就是對防不勝防的JavaScript版盜夢空間的介紹，望你能有所收獲。