黑客们另一种常用的方式，即把木马或病毒编写成一个脚本，然后嵌入到网页、电子邮件及QQ等聊天软件的消息当中，或作一个超级连接指向这个脚本，只要用户打开包含有嵌入这些木马或病毒的网页、电子邮件和聊天信息窗口，或单击指向这些木马及病毒脚本的超级连接，这些木马或病毒程序就这样轻松地进入了用户的PC当中。

　　网络钓鱼攻击的方式也是多种多样，其中之一便是伪造一个十分相似的网站界面，引诱用户在这个假冒的网上银行网站进行登录操作，有些用户轻易相信引诱信息，再加上粗心大意，其后果就不堪设想了。

　　现今企业当中，移动办公的趋势越来越明显，大部分的企业员工会把计算机带回家中工作，或者在公共场所接入互联网，他们成为当前Web威胁首先侵入的目标。而企业员工对互联网依赖性的加剧，也使得公司网络比以往更加容易受到将员工做为跳板的恶意程序的攻击。恶意程序的主要入侵途径已经转变为HTTP方式，而且病毒产生速度快、变种多，令本来就脆弱的企业网络雪上加霜。

　　面对来势汹汹的应用威胁，绝大多数企业并没有真正意识到其中的危机。一方面，恶意网站以600%的年增长速度在迅速增加;另一方面，77%带有恶意代码的网站是被植入恶意攻击代码的合法网站。这些威胁正往定向、复合式攻击发展，其中一种攻击会包括多种威胁，比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit、黑客等，造成拒绝服务、服务劫持、信息泄露或篡改等危害。另外，复合攻击也加大了收集所有“样本”的难度，造成的损害也是多方面的，潜伏期难以预测，甚至可以远程可控地发作。

　　我们又该如何应对

　　随着多形态攻击的数量越来越多，传统防护手段的安全效果也越来越差，总是处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。更为严峻的是，传统的仅针对终端设备的防病毒解决方案并不能应对当前变化多端的Web威胁。

　　作为个人用户来说，应该本身对网络安全防范的加深和正确认识，不断提高自身的计算机及网络应用技术水平加固计算机的安全，以及努力克服自己的好奇心，消除贪图小便宜的心理，规范自己的网络操作行为，来缓解决Web应用安全问题日趋严重的趋势。

　　对于企业用户，针对Web应用的安全产品，可以分为网络、Web服务器自身以及程序安全三方面。在网络方面，可以考虑将防火墙、IDS/IPS、安全网关、防病毒墙等产品部署在Web服务器前面，这样可以防御大部分的攻击。此外，可以通过部署更安全的Web服务器、Web服务器自身的保护系统，比如网页防篡改保护系统(防篡改保护和恢复软件)、恶意主动防御系统、访问控制系统、审计系统等产品，做到自动扫描和监控，从而保护系统和文件。目前已经出现了程序安全的研究方向，我们也希望能够早日看到相关产品。

　　最后我们要做到“两手抓、两手都要硬”，用一句形象的比喻来说明：防火墙/入侵检测系统如同金钟罩铁布衫等外功，防止明枪;而更重要的是需要修炼太极等内功，弥补自身的漏洞，躲避暗箭，内外兼修的效果将使您的企业纵横江湖。

　　来源：网络