【51CTO.com獨家翻譯】傳統觀點認為，上網時只要不瀏覽色情，股票投資和游戲等網站就是安全的，但根據最近位于波士頓的IT安全及控制公司Sophos的研究報告，我們認為安全的網站卻并不一定安全。

根據Sophos的研究報告，今年前6個月的威脅，有23500個新感染的網頁，每3.6秒感染一頁，與去年同期相比，增加了4倍，許多被感染的網頁都是在合法的網站上的。

在最近的一次采訪中，波士頓實驗室主管Richard Wang概述了合法網站正變得越來越危險的七大主要原因。

惡意廣告

許多合法網站依靠付費廣告生存，但Wang說，從最近實驗室的分析結果中看出，這些廣告中往往隱藏中惡意軟件，而網站站長和用戶都不知情。大多數網站都是與廣告公司簽訂的合同，而不是直接和廣告客戶，有些廣告公司在審查內容方面把關不嚴。

將廣告合并到Flash動畫和其它富媒體中普遍存在攻擊者可以利用的漏洞，當用戶點擊這個廣告時，瀏覽器可能（而且經常是）重定向到惡意網站，在后臺下載惡意軟件，而此時用戶完全不知情，他/她還在瀏覽合法網站呢。這些惡意軟件一般收集用戶名，密碼和敏感的銀行數據。

SQL注入攻擊

SQL注入攻擊是目前最流行的攻擊手段，在過去幾年已經發生一些引人注目的SQL注入攻擊事件。SQL注入攻擊是一種利用Web應用程序或網頁中編碼缺陷進行攻擊的技術，例如，黑客可能在某個字段后輸入一小段SQL代碼來收集郵件地址，如果應用程序對輸入的內容未作安全驗證，服務器就可能執行黑客輸入的SQL命令，讓黑客獲得服務器的控制權。

Wang表示黑客通常利用那些開發得差勁的網站進行SQL注入攻擊。

用戶提供的內容

現在人人都可以撰寫評論，張貼博客，或在社交網站上發表內容，不懷好意的人利用這一點，對討論主題進行干擾，發布一些垃圾留言，惡意鏈接，讓不小心點擊的人中招，也可能發布一些很吸引人的文字，圖片，但卻鏈接到了惡意網站。

竊取網站登錄信息

使用上述類型的惡意軟件和社交網絡手段，攻擊者可以竊取內容提供商的登錄憑據，這樣攻擊者就可以以你的身份登錄網站，想干什么都可以，一般他們都只會做一點點手腳，你一般不會察覺到，增加一小段代碼就可以盜取網站訪問者的信用卡或其它數據。

破壞托管服務

這和前面一種情況類似，內容提供商的登錄信息被竊取，黑客可以正常登陸然后做一些危害操作，通過這種方式，不懷好意的人可能一下子搞掉網站托管服務商的上千個網站。

本地惡意軟件

你訪問的網站可能萬無一失，但如果你自己的電腦上隱藏了惡意軟件，你可能不自覺地就成為攻擊者的幫兇，例如，用戶可以訪問網上銀行網站，在輸入用戶名和密碼時，木馬記錄了這些敏感信息并把它發給黑客，黑客得到賬號后可能將你賬號上的錢洗劫一空。

黑客操縱的偽裝

最后，黑客可能向你推銷假冒商店，包括偽裝的安全軟件，如果彈出一個警告對話框，那你的電腦可能已經感染，此時，你必須下載一個特定的安全工具才能將其清除，最常見的就是你訪問一個網站時，惡意程序秘密下載到你的電腦上。

Wang說“你可能花了39.95美元卻買到了一個毫無價值的軟件，并可能竊取你的信用卡資料”。

如果你的網站上要放廣告，你該怎么做？Wang建議IT安全管理員使用安全掃描軟件掃描一下需要第三方托管的內容，開發人員也應該更加努力，編寫更安全的代碼。

對于那些不懂技術的人，一個明智的做法是每天都執行漏洞掃描，并不斷更新安全補丁，加強系統的安全。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】