【专稿】传统的判断都认为访问网站一般还是安全的，只要不上色情、股评、游戏等类的网站就没事儿。然而根据波士顿的一家IT安全与控制公司Sophos的最新调查，我们所信任的一些网站也并非如想象的那么安全。

在Sophos发布的上半年风险威胁报告中，我们发现，每天受到病毒感染的新增网页23500个（平均每秒感染一个页面），是去年同期的4倍，而且很多受到感染的网页都是合法网站的网页。

管理这家安全公司实验室的Richard Wang在接受IDG下属CSOonline采访时，列出了合法网站正成为安全威胁源头的7大原因。

1. 垃圾广告

很多合法网站如今都得依靠广告收入来支付运营账单。然而Wang说，他们最新统计的感染数据表明，此类广告经常会隐藏恶意软件，网站经营者或使用者根本无从得知。

“大量的网站都是靠广告支撑的，但是它们并非直接与广告主签订合同，而是通过广告代理商和网站联系的，”Wang说。“这些中间商很少会仔细审查广告内容是否有瑕疵或者有病毒感染。”

而附有Flash动画和其他富媒体的广告常常会存在可被攻击者们利用的安全漏洞。一旦用户点击广告，浏览器就会发生重定向，这样一来，当用户在阅读合法网站内容的时候，在后台就会自动下载恶意软件。这个广告供应链中的某人可能就是罪犯，但是要想追溯到他们的踪迹却相当困难，Wang说。

2. SQL注入攻击

SQL注入攻击是最普遍的攻击手段，在过去数年发生的几件大案中频繁被使用。

SQL注入是利用Web应用或Web页面上的代码漏洞进行输入的技巧。举例来说，黑客可以将SQL代码输入一个域，伪称收集邮件地址。如果该应用没有包含对输入的正确格式进行安全认证的功能，那么服务器就可能执行黑客输入的SQL指令，从而让黑客控制服务器。

3. 用户提供的内容

如今在社交网站上写博客并不需要什么天赋。一些坏家伙早就知道了个中奥妙，开始兜售话题线索和其他用户提供的内容资源，当然这些东西当中都暗藏着垃圾邮件链接。

 

“你会获得一些评论类的垃圾邮件，其中含有一些完全不相干的链接，”Wang说。“这些链接会把你引向恶意网站或者一小段恶意脚本。”

4. 盗用网站资格

利用上述的恶意软件和社交网络技巧，或者其他一些手段，攻击者便可盗用内容提供商的注册资格。当然，他们并不是要登录这些网站大闹一番，典型的做法是做一些非常巧妙的、不引人注意的代码改动以免引起网站的注意。这些暗中加进来的小段代码便可窃取网站访问者的信用卡数据或其他信息。

5. 入侵主机托管服务

这种手法和第4种类似，黑客盗取内容提供商的资格，做一些恶意的代码修改。通过这种手法，黑客就能一次性感染该托管商所托管的数千个网站。

6. 本地恶意软件

你访问的网站可能是安全的，但如果有恶意软件隐藏在你自己的机子里，那么你就可能无意中参与了对合法网站的攻击，Wang说。例如用户访问网上银行，在输入用户名和密码时，隐藏的特洛伊木马就会记录下这些信息，然后供黑客们进行后台攻击，清空你的账户或者其他人的账户。

7. 冒充防黑客安全厂商

最后，还有一些黑客会伪装成安全厂商向你兜售安全软件。如果有对话框突然弹出，警报说你的机子可能已被感染，你必须立刻下载某个专门的安全工具来删除病毒时，你可得千万小心别上当。这通常表明已经有恶意软件悄悄下载到了你的机子上。

“你要是刷卡给他40美元，只会得到一个毫无用处的软件，而与此同时，你的信用卡数据却已经被他们盗走了，”Wang说。

那么，遇到上述这些情况该怎么办？Wang建议企业的IT安全管理人员应对进入企业网络的任何代码或应用都要进行安全扫描，开发人员应付出加倍的精力编写不易被攻破的代码。

对于那些主要依靠第三方论坛程序的网站，明智的做法是每天做漏洞扫描，及时更新安全补丁。（波波编译）