信息安全工程师教程摘录：应用系统安全基础 Web安全威胁分类

现在的黑客日益聪明，前一段时间的“艳照门”事件和抗震救灾期间的“救灾视频”，都有黑客们的手脚在里面，他们往往用一些令人感兴趣的东西来吸引受害者，所谓愿者上钩。殊不知，这些表面的东西往往包含着恶意软件，甚至 rootkit程序。根据赛门铁克的调查，以下这些可谓昀具危险性的 Web威胁。
（1）可信任站点的漏洞我们都有这样的看法，大的知名网站是相对安全的。黑客们也知道这一点，他们会想方设法修改这些网站的网页，将用户的浏览器重新导向到其精心打造的恶意站点，这个恶意站点看起来还是非常可信的。但在用户向其中输入个人信息时，这些站点就会窃取你的信息，有的还会在你的系统上种上点东西（如间谍软件等），或者破坏你的邮件地址簿，肆意传播垃圾邮件等。
（2）浏览器和浏览器插件的漏洞
前几天我们看到一些安全专家建议不要使用 IE浏览器。其实其他的浏览器也并非无懈可击，只是漏洞暂时还不太多或者说是攻击者对其关注的程度还不够高而已。不管哪种浏览器，攻击者都可以利用其漏洞或其插件的漏洞将恶意软件下载并安装到用户计算机上，或者将用户指引到一个恶意站点。
（3）终端用户
许多攻击者都是从终端用户下手的。许多企业面临的威胁主要是由于其针对笔记本电脑、桌面系统、服务器、未受保护的移动设备的安全策略不健全造成的。如空口令、关闭防火墙等都是具体表现。
（4）可移动的存储设备
由于 U盘、移动硬盘、 MP3、MP4等设备的快速流行和使用，恶意软件也可以轻易地从外部的设备传输到网络系统中。此外，插到 iPod中的插件也可以成为窃取系统数据的重要媒介。
（5）网络钓鱼
网络骗子伪造冒似金融网站的虚假站点欺骗消费者。它们还能够以金融公司作为其伪装，在电子邮件中诱骗消费者输入其个人机密信息。
（6）僵尸网络
攻击者通过隐藏的程序控制大量的计算机系统并执行多任务，如发送垃圾邮件和发动拒绝服务攻击等。
（7）键盘记录程序
黑客在用户的系统上安装可以记录用户击键的程序，并将记录的结果秘密地通过电子邮件发送到黑客的邮箱。
（8）多重攻击
黑客使出“组合拳”，即将多种战术结合在一起（如综合运用键盘记录程序、僵尸网络、钓鱼等手段）来窃取用户的敏感信息。此外，攻击者还可以通过间谍软件窃取个人的机密信息，并能够通过垃圾邮件传播病毒、间谍软件、木马等。
以上这些威胁并不代表全部，现在的 Web威胁日益体现出综合化，并向纵深发展。以前攻击者主要利用操作系统漏洞，现在对应用软件的漏洞越来越感兴趣；以前的 SQL攻击可以检测，现在却越来越难；以前黑客们控制一两台计算机，现在可以通过一个网站攻击其他网站，并感染用户，进而构建僵尸网络，借以发动分布式拒绝服务攻击（DDoS）。因此任何企业都应当重视防范措施的多样性和多重性，不要依赖单纯的一种技术。