使用 WebAssembly 的网站中有一半将其用于恶意目的
根据一项已发表的学术研究,使用 WebAssembly 的网站中大约有一半将其用于恶意目的。
WebAssembly 由 Mozilla、谷歌、微软和苹果这四个主要的浏览器供应商协同创建,它引入了一种新的二进制文件格式,用于将代码从 Web 服务器传输到浏览器。一旦到达浏览器,WebAssembly 代码(Wasm)就会以接近本地的速度执行,类似于已编译的 C、C++ 或 Rust 代码。创建 WebAssembly 的目的是兼顾速度和性能。由于 Wasm 代码具有机器友好的二进制格式,因此它比等效的 JavaScript 格式小,但执行时速度也快许多倍。
WebAssembly 于 2017 年首次被提出,并于 2019 年底被批准为正式的 W3C(万维网联盟)标准,目前受到所有主流浏览器的支持。
在去年进行的一项学术研究项目中,来自德国布伦瑞克工业大学的四名研究人员研究了 WebAssembly 在 Alexa 上排名前 100 万的流行站点上的使用情况,以评估这种新技术的普及程度。他们加载了 100 万个网站中每个网站的三个随机页面,测量了 WebAssembly 的使用情况,以及每个网站运行代码所花费的时间。
研究发现有 1,639 个站点装载了总计 1,950 个 Wasm 模块,只有 150 个模块是独一无二的,有很多站点都在使用相同的 Wasm 模块。
研究小组还对每个网站正在加载的 Wasm 代码的性质进行了研究。他们手动分析代码,查看函数名称和嵌入的字符串,然后映射出相似代码的集群。研究人员表示,他们分析的绝大多数代码样本都用于加密货币挖掘(样本的 32%)和在线游戏(样本的 29.3%)。这两类 Wasm 代码在本质上是恶意的。
用于加密货币挖掘的 Wasm 模块通常是所谓的加密劫持(通过挖矿驱动)攻击的一部分。另一类涉及打包在混淆的 Wasm 模块中的 WebAssembly 代码,这些模块有意隐藏其内容,一般来说是恶意广告的一部分。
由于代码经常在多个域中重复使用,这些模块已被用于超过一半的样本网站。且将 WebAssembly 代码用于恶意目的的行为有在不断增加的趋势。研究小组还表示,这可能还只是“冰山一角”。为此,他们呼吁网络安全公司参与进来,应对新技术带来的新威胁。
消息来源:ZDNet
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
高盛:微软正逐步赢得云服务之战
▲微软 CEOSatya Nadella 高盛(Goldman Sachs)的最新一项调查显示,尽管亚马逊在收入方面总体上领先于整个市场,但微软仍然是最受欢迎的公共云服务提供商。且微软的云市场份额将继续增长,进一步的云增长也助推了微软的股价走高。 先来看看高盛的报告。这是基于对全球 2000 强公司的 100 名 IT 高管的信息技术支出调查,于每年 6 月和 12 月进行。 受访的 100 位高管中,有 56 位正在将 Azure 用于云基础架构,而 48 位高管正在使用 AWS。 根据调查数据,自 2017 年 12 月以来,在 IaaS(基础设施即服务)和 PaaS(平台即服务)的综合领域,微软的领先优势一直在增加。 在三年内,更多的受访者期望他们的公司使用 Azure,而不是其他任何云。 受访公司中,截至 12 月,有大约 23% 的 IT 工作负载在公共云上,高于 6 月份的 19%,并且预计该比例将在三年内达到 43%。 分析师强调,工作负载使用情况与实际收入并不完全一致。在第三季度,AWS 获得了 90 亿美元的收入。微软未公布 Azure 的季度收入,但是证券公司的分析...
- 下一篇
展望2020:传统容器已死,安全容器将成为云原生标配
云原生是一座由精妙理论所构筑的摩天大厦,但其中的砖石还需加固。 当云原生将容器技术作为下一代云计算的基础之一时,并不意味着容器本身停止了演化。事实上,以Docker为代表的传统容器在遇到多租户场景时,它的安全问题立刻暴露了出来,这时,人们才怀念起虚拟化的好处。 于是,采用虚拟化技术的“安全容器”这一概念应运而生,而开启这一变革的,正是Kata Containers,前不久,它刚刚度过两周年。 新的Kata Containers为我们带来虚拟机的安全性和隔离性、与容器兼容的API接口,同时还有与容器同一级别的性能,这意味着采用安全容器的时机已经成熟。 与此相对的是,上个月,Docker的企业级业务被打包出售,据称出售价格甚至不及几轮下来的融资总额。 所有在生产环境使用容器的公司,从现在开始都有必要审视自己的安全策略,并制定从容器到安全容器的迁移计划。 这一切是怎么发生的呢?听我为你一一道来。 Docker的溃败 2019年11月13日,私有云基础设施公司Mirantis在其官方博客宣布,收购Docker公司企业级业务,包括接管它的700多个客户,这标志着Docker公司从2013年开始的...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS8编译安装MySQL8.0.19
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS7,CentOS8安装Elasticsearch6.8.6
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果