浏览器恶意脚本之下载炸弹概念验证代码(PoC)测试页
下载炸弹即通过网页脚本调用浏览器函数在网页加载瞬间启动数千个下载线程达到阻塞和卡死浏览器的目的。
这种恶意脚本目前主要在诈骗网站中使用,通过将用户浏览器卡死诱导用户点击或拨打诈骗团伙的诈骗电话。
下载炸弹恶意脚本目前影响多个主流浏览器,用户遭遇下载炸弹时可通过任务管理器结束浏览器进程来恢复。
本测试页通过 window.navigator.msSaveOrOpenBlob 函数不断地启动下载进程达到耗尽处理器资源目的。
请在打开本页面时务必提前打开任务管理器以便在卡死时结束浏览器进程,当然直接重启电脑也可解决问题。
下载炸弹测试页:https://dl.lancdn.com/landian/Script/dlboom_re.html (不影响IE / Edge等少数浏览器)
诈骗团伙利用下载炸弹制作的恶意网页如下效果:
由于开启了每次下载前询问保存目录,没啥感觉
Chrome测试结果:弹出个框:XX网站想要下载多个文件,点击“禁止”即可;选项卡关闭一次不行多点击几次就能关闭了。
Chrome版本:71.0.3578.98
还好,8700占用63%,网页版网易云还在播放,但是Chrome卡死了
哈哈哈,360极速直接奔溃,没看到CPU100%的场面
直接崩溃倒也不是个不错的选择 不用手动干掉进程了
卧槽,CPU瞬间飙到100%。。。
所以才会直接咯嘣