以下的文章主要讲述的是防不胜防的JavaScript版盗梦空间，影片《盗梦空间》主要讲述的是一个心理骇客入侵催眠者的梦境，把存在记忆中的宝贵信息偷走的一个过程，甚至植入“记忆木马”，当然，后者需要“汇编级”的操作，一不小心，就会导致双方大脑“宕机”。

影片《盗梦空间》告诉我们一个心理骇客如何入侵催眠者的梦境，偷走只存在于记忆中的宝贵信息，甚至植入“记忆木马”，当然，后者需要“汇编级”的操作，一不小心，就会导致双方大脑“宕机”。而且，为了让木马不发生排异反应，心理骇客需要精心设计，连环布局并深入三重梦境，才能突破“梦主”的理性防线，对于今天的网络黑客来说，从戒备森严，装备防尘罩、高压电和报警器的笼子里抓获我们这些“肉鸡”，需要的手段之精妙巧诈，丝毫不输于《盗梦空间》…

作者：趋势科技资深网络威胁研究员 David Sancho 编译：Mirko Liu

今天，一封身手了得的垃圾邮件突破重重过滤，在我的收件箱里“触地得分”。

标题下面的信息只有短短的一句话和一条缩写的超链接（类似新浪微博上的URL缩写格式）。句子是西班牙语写成的，垃圾邮件过滤器对此显然颇为头大。这是这封垃圾邮件第一个值得称道的战术——简洁。我的老师们曾强调过，简洁总是强过冗长。显然老师们是无比正确的，虽然他们讨论的并非垃圾邮件。

接下来，缩写URL形式对用户造成的眩晕显然还不是这封信的主要目的，问题在于，这条缩写URL指向的是博客空间站blogspot。众所周知，Blogspot是一家免费的博客空间服务商，但经常被垃圾邮件制造者用来做“跳板”将流量导向真正的垃圾终点站，例如那些贩卖假劳力士的网站。也许大家会问，垃圾邮件制造者怎么能操纵Blogspot成为其跳板的？经过该blogspot博客网页HTML代码的快速分析，不难发现背后的网络罪犯是个善用JavaScript的高手。

图一：垃圾邮件样本

图二：垃圾邮件的最终目的地网站（卖假表假包的网站）

问题的根源在于，Blogspot允许用户在他们的博客中插入Javascript代码！这相当于对入侵者发出了邀请函。

这件事告诉我们一个基本事实，坏蛋们能通过多重手法扰乱防御系统，并从漏洞中闪身而入，予取予求。同时也再次说明了JavaScript的强大，尤其是在坏人手中，能迸发出极大的破坏力。这再次给我敲响警钟，不要在个人通讯工具中启用JavaScript。潜在的危险还不仅与此，随着跨站脚本（Cross-site scripting），跨站请求假冒（Cross-site request forgery），以及其他基于JavaScript的web欺诈技术不断成熟，BlogSpot以及其他类似的web2.0网站应当尽快关闭JavaScript植入功能。

以上的相关内容就是对防不胜防的JavaScript版盗梦空间的介绍，望你能有所收获。