恶意广告到底是如何运行代码的？

Question

访问了相当多的恶意仓储商(我认为这就是术语: )，我得到了一些类似于data:text/html;base64,PGh0bWw+PGJvZHk+PHNjcmlwdD52YXIgZT0obmV3IERhdGUpLmdldFRpbWUoKTt2YXIgZWZ3PXdpbmRvdy5uYW1lLnNwbGl0KCdfJylbM107aWYoZS1lZnc8MjUwKXt3aW5kb3cubG9jYXRpb249Jyc7fTwvc2NyaXB0PjwvYm9keT48L2h0bWw+的地址栏弹出窗口

这个编码部分转换为：<html><body><script>var e=(new Date).getTime();var efw=window.name.split('_')[3];if(e-efw<250){window.location='';}</script></body></html>

我不知道为什么浏览器支持这样的页面/脚本内联，以及实际的恶意URL在哪里进入图片。也许它已经被排队了，当它打开时，它与这个片段无关吗？

Answer 1

我认为像您提到的那样的数据uris具有增加网站性能/加载时间的好处，因为它消除了下载另一个页面或帧的网络连接延迟。

在许多合法案件中，没有额外的网址。它实际上是嵌入在页面中的一页。

不过，我在凭证钓鱼中看到的是，攻击者像这样使用数据uris，然后"url“作为html表单中的post操作发挥作用。因此，密码被收集在数据uri中的文本框中，但发送给攻击者url。