必须了解的黑客入侵网站的十条原因及相应抵御方法

十大Web安全威胁，你都了解吗？

1. 桌面系统漏洞

谈起网络威胁，桌面系统的漏洞永远是黑客的“老牌”切入点。无论是Internet Explorer、Firefox，还是广泛使用的Windows操作系统，都曾存在或依然潜藏着安全缝隙。尤其是在用户疏于安装补丁的情况下，这些缝隙就成了黑客的“高速公路”，能不经用户同意，悄无声息地下载恶意代码——也就是我们常说的“隐藏式下载”。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

2. 服务器漏洞

服务端的安全同样不容忽视。像IIS（Internet Information Server）和Apache这类常用的网络服务器，一旦存在配置管理失误或未修复的漏洞，也极易成为黑客攻击的跳板。

3. Web服务器虚拟托管

那些同时托管着成百上千个网站的服务器，对攻击者而言，无疑是一个极具诱惑力的目标。攻破一个，便能影响一片，这种“性价比”让它们频频被盯上。

4. 显性/开放式袋里

被黑客成功控制的计算机，往往会被设置为袋里服务器。这招不仅能用来逃避URL过滤的监控，实现匿名上网，还能充当非法网站数据流的“中间人”，危害极大。

5. HTML可嵌入来自不同服务器的对象

有时候，你以为只是访问了一个普通网站，但网页却可能在后台自动从其他来源加载内容。这些来源可能是Google分析服务这类合法站点，也可能是隐藏的广告服务器、恶意软件下载站，甚至是把你重定向到恶意网站的陷阱。

6. 普通用户安全意识薄弱

现实很骨感：大多数普通用户对安全状况的认识相当有限。他们可能不清楚浏览器上SSL证书警告的原因，不知道如何验证下载程序的合法性，甚至无法判断自己的电脑是否已“中招”。在家庭网络里不启用防火墙、分辨不出钓鱼网站与合法网页的情况，更是比比皆是。

7. 移动代码被广泛使用

Ja vaScript、Ja va applets、.NET应用、Flash或ActiveX——这些能让网页“活”起来的移动代码，几乎无处不在。禁用它们固然更安全，但很多网站也就无法正常访问了。这就给那些编写粗糙的网页应用开了后门，比如跨站脚本攻击。任何接受用户输入的Web应用（博客、评论等），都可能无意中成为恶意代码的传播渠道。

8. 全天候高速宽带接入普及

家庭宽带“永远在线”，确实方便，但也带来了风险。与拥有严格防火墙的企业网络不同，缺乏网络地址转换（NAT）等防护措施的家庭网络，很容易被攻陷，导致个人信息失窃，电脑沦为僵尸网络的一员，甚至在用户毫不知情的情况下，成为托管恶意代码的服务器。

9. HTTP和HTTPS协议的普遍开放

为了浏览网页，几乎所有的计算机防火墙都开放了80和443端口（HTTP/HTTPS）。这意味着，所有联网设备基本都能访问外部网络。许多即时通讯和P2P软件也通过这些端口通信，无形中为僵尸网络指令的传输提供了潜在通道。

10. 邮件中采用嵌入式HTML

如今，黑客已经很少直接往电子邮件附件里塞恶意代码了，因为邮件网关查得严。他们现在更“聪明”：在邮件里嵌入HTML代码，当用户打开邮件时，就会在后台静默向恶意网站发起请求，神不知鬼不觉地完成下载。

如何构建你的网络防线？十大应对策略

1. 拦截对恶意软件服务器的访问

最直接有效的第一道防线，就是在网络出口处（Web网关）进行拦截。一旦检测到终端用户试图访问已知或可疑的恶意软件服务器，无论是HTTP还是HTTPS请求，都应立刻阻断，这既能节省带宽，也减少了本地扫描的资源消耗。

2. 将移动代码限制在可信网站

移动代码不能“一刀切”地禁用，但可以严格管理。一个可行的策略是，只允许来自受信任白名单网站的脚本和活动代码执行，这能极大地压缩黑客利用它们渗透系统的空间。

3. 在Web网关处集中扫描

别把所有希望都寄托在终端桌面上。你不能假设每台电脑的杀毒软件都是最新的。最稳妥的办法，是在恶意软件尝试进入网络的入口——也就是Web网关处——进行集中扫描。这能让你统一管控所有进入的Web流量（HTTP、HTTPS、FTP），把威胁挡在门外。

4. 采用多厂商产品进行分层扫描

现在的恶意软件在发布前，很多都会针对主流杀毒软件进行“免杀”测试。因此，在桌面端和网关端采用不同厂商的扫描产品，实现安全方案的多样化，能有效提升阻断威胁的概率。

5. 定期为桌面和服务器打补丁

这一点是老生常谈，但至关重要。绝大多数攻击都利用了已知的应用或系统漏洞。及时、定期地更新补丁，是降低风险最基础、最有效的手段之一。

6. 安装并更新反病毒软件

从引导区病毒时代起，安装反病毒软件就成了电脑的“标配”。它作为最后一道本地防线，能检查进入的文件、扫描内存和当前文件。任何Windows计算机都应安装并及时更新它。除了防御网络威胁，它也能很好地抵御通过U盘、光盘等媒介传播的恶意软件。

7. 只访问通过全部SSL检查的HTTPS网站

用户需要养成一个好习惯：只访问那些能通过浏览器全部三项SSL检查的HTTPS网站。这三项检查分别是：证书是否过期、发布者是否可信、证书中的主机名是否与访问的网址匹配。任何一项不通过，都应提高警惕，避免访问。

8. 只从可信站点下载可执行程序

网络上的“社会工程学”攻击非常活跃。一种常见手法是将恶意软件捆绑在看似有用的软件里。用户一旦运行，恶意软件便会随之激活。这就是典型的“特洛伊木马”攻击。所以，下载程序务必认准官方或信誉良好的渠道。

9. 警惕使用IP地址作为服务器的网站

近年来，越来越多的攻击利用被入侵的家用电脑（通常安装了简易Web服务器）作为据点。这些恶意网站往往直接使用IP地址，而非正常的域名来访问。这是一个重要的危险信号，合法的商业网站通常都会使用主机名。

10. 仔细输入网址，避免拼写错误

误输入网址是导致意外访问恶意网站的常见原因之一。一些恶意网站会注册与热门网站极为相似的域名（俗称“钓鱼”或“误植”域名），守株待兔。如果你的浏览器没有打全补丁，很可能在访问过程中就中招了。

构筑核心防线：如何选择与部署Web网关保护

一个强大的Web安全网关，是防御体系的核心。在选择和配置时，你需要确保它至少能提供以下关键能力：

-> URL过滤功能： 用于阻断恶意软件下载、防止网络钓鱼和因网址输入错误导致的误访问。

-> 全面的恶意软件扫描： 能够扫描和查杀病毒、间谍软件、恶意移动代码、风险软件、木马、僵尸网络、蠕虫等各类威胁。

-> 支持HTTPS深度检查： 保护范围不能仅限于HTTP和FTP，必须能够对加密的HTTPS流量进行内容安全检查。

-> 基于真实文件类型的检查： 不能仅凭文件扩展名做判断，要能检测文件实际内容，防止攻击者通过修改扩展名等手段逃避审查。

-> 强化的SSL浏览器检查： 严格验证网站SSL证书的有效性和合法性。

-> 阻止IP地址直接访问： 可以配置策略，阻止用户直接通过IP地址访问Web服务器。

-> 移动代码白名单控制： 只允许来自受信任网站的移动代码和执行文件运行。

-> 灵活的灰度名单管理： 例如，允许IT管理员等特定用户访问“灰色”名单中的可执行文件，兼顾安全与效率。

-> 高频威胁情报更新： 能够自动、定时（如每日多次）从可信的威胁情报提供商处获取更新，确保对新威胁的识别能力。

-> 为网络通信优化的高性能扫描： 考虑到用户对网络延迟非常敏感，扫描引擎需要足够智能和高效：
• 避免对重复流量进行不必要的重复扫描。
• 能智能处理大型文件下载（如超过200KB），避免影响常规网络浏览的流畅性。
• 高效管理大量并发的TCP连接，不浪费系统资源。

-> 安全搜索集成： 在与主流搜索引擎协作时，提供安全搜索功能，尽量过滤掉恶意网站链接。

-> 多扫描引擎选择： 提供不同厂商的扫描引擎选择，以便与桌面端杀毒软件形成互补，构建多层次的防御。

-> 不信任IP地址直连： 如前所述，将使用IP地址的网页访问视为高风险行为加以管控。

-> 识别无限数据流： 能够正确识别并跳过对互联网电台流媒体等永不停止的无限数据流的扫描，避免无谓的资源占用。