浏览网页有可能中木马或者病毒吗？

• 資深大佬 : ysc3839

  论可能性的话那当然是可能的，浏览器有可能存在漏洞。

• 資深大佬 : ysc3839

  举个典型的例子，运行 iOS 9.1 – 9.3.4 的 32 位设备可以通过网页来越狱 http://www.jailbreak.me/

• 資深大佬 : FlyingShark

  SVG 还有 PDF 相关的漏洞是有的，微信 webview 也出过漏洞

• 資深大佬 : LiYanHong

  主没经历过 ie6 年代吗
  不过现代浏览器除了第三方插件和本身的漏洞，中毒可能性很小

• 資深大佬 : CrazyBoyFeng

  一般情况下，除非使用的是 ie 这种古代浏览器，现代浏览器都是沙箱环境，javascript 接触不到本地文件。

• 資深大佬 : czfy

  如果浏览网页不会中木马或者病毒，以前的木马或病毒都怎么传播？
  U 盘传播那也得你插上的电脑已经中毒，最开始肯定是通过网络传播的啊..

  只是现在不像以前，木马 /病毒少见了，不过最近最有名的当属勒索病毒

• 資深大佬 : WeaPoon

  会，只是现在可能性比较低，除非发现重大漏洞。以前网马可是很盛行的，下载 exe 和执行，有能利用的 0day 就等于看到了钱。

• 資深大佬 : cmdOptionKana

  有可能，但可能性极低，低到可以忽略。

  打个比喻，过马路（即使遵守交通规则并很小心）有可能被车撞吗，有，但绝大多数情况下我们在实践中都忽略这个极低的可能性，当作不会被撞来处理就行了。

• 資深大佬 : chnyuwen

  Chromium 有沙箱机制，还是以最低权限运行的，macos 还有一层应用沙箱，突破沙箱还要提权…除非有 0 day
  大规模使用 0 day 在普通人身上并不值，我认为普通人几乎没有可能遇到。

• 資深大佬 : cmostuor

  @chnyuwen 在普通的人能用得起电脑的家庭在怎么着家里都是有点储蓄的 而且把不是很多人都会有安全意识也很容易被欺骗 就程序员里有安全意识的都没多少何况什么技术都不懂的普通人。。。省去一堆巴拉巴拉的废话 在安全的机制或软件都抵不过一个愚蠢的人做的不安全的操作

• 資深大佬 : ifxo

  现在只要用最新的浏览器，就不可能中毒，打开网页只可能被钓鱼

• 資深大佬 : lixuda

  应该防的是打开网页后的操作，钓鱼，打开了下载文件等等

• 主 資深大佬 : sudoy

  谢谢各位回复！总结下就是，用现代的浏览器浏览网页中毒和木马可能性极低，倒是被钓鱼的可能性更大些。

• 主 資深大佬 : sudoy

  @czfy 我认为那是会下载文件（比如可执行文件）到本地电脑，诱导点击以后中毒的吧，单单浏览网页没有下载任何东西到本地的情况下，应该还是很难中毒的。

• 資深大佬 : czfy

  @sudoy 浏览行为本身就可以带来“下载”和感染，因为浏览本身就是本地电脑和服务器数据交换的过程，网站挂马也是访问即感染，不存在主动可感知的下载

• 資深大佬 : wysnylc

  以前有,现在少

• 資深大佬 : FlyingShark

  @sudoy 会的，不需要下载，现代浏览器依然存在浏览即执行恶意代码的情况，浏览器有解析漏洞，再配合沙箱逃逸 0day 漏洞，可以实现提权。 不过你放心，现在已经很少了，用户只要及时升级浏览器即可。
• 主 資深大佬 : sudoy

  @czfy 访问即感染！听起来挺可怕的，不过我还是不大明白。老的 IE 浏览器我不大熟悉，但是现代的浏览器比如 Chrome，哪怕是他在页面加载的时候就运行谋个下载动作，那 chrome 也会提示下载东西吧。感染就更不理解了，您说的是利用浏览器漏洞吧，单单 HTML/JavaScript，在 chrome 自带的沙箱的前提下，我很难想象能感染到本地文件。

• 主 資深大佬 : sudoy

  @FlyingShark 谢谢解答！

• 資深大佬 : czfy

  @sudoy 现代浏览器沙箱确实可以在一定程度上防范过往的木马 /病毒，但是实际上你打开网页就是把网页数据传输到你的本地啊…不是说只有下载文件才是下载

• 資深大佬 : zzzmh

  讲道理我不懂底层，但我猜测用 chrome，不执行下载到本地的风险文件，不装有风险的权限的插件，应该没那么牛逼能让电脑中毒

• 資深大佬 : illl

  如果存在 xss 和 crsf 漏洞的话还是会有影响的

• 主 資深大佬 : sudoy

  @zzzmh 我也是这么认为的，现在绝大多数网址都不允许跨域，一些敏感的网址比如银行网址也都做的比较严谨。不过从上的评论来看，确实还是有一定风险。一些可疑的邮件还是不要去点开里面的链接。

• 資深大佬 : CrazyBoyFeng

  @czfy 下载不会感染，运行才会感染。而运行在沙箱里的程序也触摸不到沙箱之外。
  现代浏览器不通过漏洞没法独立执行用户级进程。ie 从 ie7 开始都是纯沙箱了。
  随着浏览器的更新换代，能被利用的漏洞是稀有的。这类漏洞即便被掌握，其漏洞价值之巨大，一般也只会用来对少数目标进行隐蔽的精准攻击。广泛的无差别攻击难以带来巨大利润，且还会被公众迅速发现后修补掉。
  不推荐用那种内核万年不升级的第三方 chromium 套壳浏览器。

• 資深大佬 : CEBBCAT

  @zzzmh #20 不懂可以只看帖不回帖呀，这次你猜错了。我也不懂，但我会 Google 搜索，然后我搜到了这些漏洞：
  CVE-2019-5786： https://www.anquanke.com/post/id/173681
  CVE 2019-5786： https://xz.aliyun.com/t/4502
  Magellan 2.0： https://www.solidot.org/story?sid=63057

• 主 資深大佬 : sudoy

  @CrazyBoyFeng 谢谢

• 主 資深大佬 : sudoy

  @CEBBCAT 哇，这些资料就很专业了！多谢

• 資深大佬 : crab

  经历过 IE 浏览器那会网马是真多，最爽的是 0day 在补丁日前流出。

• 主 資深大佬 : sudoy

  @crab 所以 IE 是用来下载 Chrome 的

• 資深大佬 : nuistzhou

  犹记得很多年前 QQ 空间都是可以挂马的。。。

• 資深大佬 : xxxy

  [图片] cve-2020-16016，cve-2020-16017 只要访问黑客控制的网站就能被 rce

• 資深大佬 : systemcall

  自从浏览器使用沙箱、插件用 PPAPI 而不是 NPAPI 、默认禁用 Flash 、浏览器以低权限启动，浏览网页就安全得多了
  以前 XP+IE6 的时候，浏览网页中毒的可能性还是挺大的，挂马的方式多得是，甚至服务器也有不少中毒的。NT6 开始有了 UAC，浏览器默认是低权限启动，好了很多。再就是 Chrome 的沙盒，以及后来开始淘汰 NPAPI 、插件也放在沙盒里跑，再就是淘汰 Flash

• 資深大佬 : sampeng

  所以每年的各大浏览器请黑客攻击自己浏览器是好玩嚒…

• 資深大佬 : lawler

  以前是攻击，现在是钓鱼。

• 資深大佬 : loading

  现在已经很安全了，况且现在盗号什么的都法律上禁止了。

• 資深大佬 : chocovon

  按照木桶原理，大众用户所面临的安全问题其实都不是技术问题，多提个醒总没错