同样是路过式，登录与下载攻击区别何在?

路过式下载攻击与路过式登录攻击有什么区别？我们如何避免路过式登录攻击？用户是否有方法可保护自己？

Nick Lewis：路过式下载攻击是指：当用户访问网站或读取HTML邮件时，在未经其许可或不知情的情况下，恶意软件从网站被下载到用户系统。路过式登录攻击也是同样的攻击方式，但它具体针对个人电子邮件或IP地址，而不是访问网站的任何随机访客。攻击者会查找并感染预定目标经常访问的网站，然后针对这个特定目标执行攻击。攻击者可插入恶意代码到网站代码来搜索特定用户，这些恶意代码可逻辑检查用户的电子邮件或IP地址，当然攻击者需要提前获取这些信息。

在某个特定攻击中，一个电子商务网站使用第三方插件连接到osCommerce，该网站包含一个漏洞，可被利用来安装恶意代码。攻击者在路过式登录攻击中添加恶意代码到标准漏洞利用攻击包，以检查易受攻击软件来进行漏洞利用。这样，恶意代码就可在端点执行，并完全感染端点。 

对于路过式登录攻击，个人和企业可采用目前他们抵御水坑攻击相同的措施。同时，利用纵深防御安全控制（例如全面补丁修复、最小权限和其他控制—沙箱或安全VM）也可以保护企业。