網頁木馬利用的漏洞有哪幾類

網頁木馬利用的漏洞主要分為以下兩類。

1. 任意下載API類漏洞：一些版本的瀏覽器插件在用來提供下載、更新等功能的API中未進行安全檢查，網頁木馬可以直接利用這些API下載和執行任意代碼。在一些復雜的攻擊場景中，攻擊者會將多個API組合，完成下載和執行任意文件的目的。

2. 內在破壞類漏洞：網頁木馬經常利用JavaScript、VBScript腳本向瀏覽器的內存空間填充惡意可執行指令（ShellCode），導致錯誤或惡意代碼被執行。內存破壞類漏洞是軟件漏洞中最古老，也是最嚴重的漏洞之一。

網頁木馬的基本攻擊方式是利用客戶端Web瀏覽器及其插件的漏洞獲得一定權限，達到下載并執行惡意程序的目的。其中，漏洞利用代碼多用JavaScript、VBScript等腳本語言編寫，這是因為瀏覽器提供了腳本語言與插件間進行交互的API。攻擊腳本通過非正常調用不安全的API便可觸發插件中的漏洞，同時攻擊者也可以利用腳本的靈活性對攻擊腳本進行一定的混淆處理來對抗反病毒引擎的安全檢查。

回答所涉及的環境：聯想天逸510S、Windows 10。