WEB安全之黑客十大攻击与防御方法

　　当前，有安全专家总结了在Web安全领域，黑客发动攻击的十大原因。编辑建议企业用户可以根据自身情况，从十个方面加以化解，以求获取最佳的安全体验。

　　十大Web攻击原因

　　第一，桌面漏洞

　　Internet Explorer、Firefox和Windows操作系统中包含很多可以被黑客利用的漏洞，黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码——也称作隐藏式下载。

　　第二，服务器漏洞

　　由于存在漏洞和服务器管理配置错误，Internet Information Server（IIS）和Apache网络服务器经常被黑客用来攻击。

　　第三，Web服务器虚拟托管

　　同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。

　　第四，显性/开放式代理

　　被黑客控制的计算机可以被设置为代理服务器，躲避URL过滤对通信的控制，进行匿名上网或者充当非法网站数据流的中间人。

　　第五，HTML可以从网页内完全不同的服务器嵌入对象

　　用户可以从特定网站请求浏览网页，只自动地从Google分析服务器等合法网站下载对象；广告服务器；恶意软件下载网站；或者被重新导向至恶意软件网站。

　　第六，普通用户对安全状况不了解

　　多数用户不了解三种SSL浏览器检查的原因；不了解如何验证所下载程序的合法性；不了解计算机是否不正常；在家庭网络内不使用防火墙；也不知道如何 区分钓鱼网页和合法网页。

　　第七，移动代码在网站上的广泛使用

　　JavaScript、Java applets、.NET应用、Flash、ActiveX为编码糟糕的Web应用开启了大门，它们接受用户输入并使用Cookies，就像在跨站点脚本（XSS）中一样。

　　第八，宽带接入的广泛使用

　　多数企业网络都受防火墙的保护，而无NAT防火墙的家庭用户很容易受到攻击而丢失个人信息；充当DDoS的僵尸计算机；安装托管恶意代码的Web服务器——家庭用户可能不会对这些状况有任何怀疑。

　　第九，对HTTP和HTTPS的普遍访问

　　访问互联网必须使用Web，所有计算机都可以通过防火墙访问HTTP和HTTPS。很多程序都通过HTTP访问互联网，例如IM和P2P软件。

　　第十，在邮件中采用嵌入式HTML

　　电子邮件中的HTML被用于从Web上获取恶意软件代码，而用户可能根本不知道已经向可以网站发送了请求。