根据反病毒厂商Sophos今年的第一、第二季度报告，网页已经超过电子邮件成为恶意软件传播时最喜欢使用的途径，通过网页传播的恶意软件平均每月增加300多种。而对用户来说，因为用户自己在互联网浏览时的安全意识薄弱、系统及软件的补丁升级的缺失、还有企业中安全管理上的不足，网站已成为和移动设备、企业局域网并列的安全主要威胁之一。

　　网页木马就是网页恶意软件威胁的罪魁祸首，和大家印象中的不同，准确的说，网页木马并不是木马程序，而应该称为网页木马“种植器”，也即一种通过攻击浏览器或浏览器外挂程序（目标通常是IE浏览器和ActiveX程序）的漏洞，向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段。常见的网页木马攻击手段有哪些？用户应该如何识别及防御来自网页木马的攻击？笔者将在本文为用户细细道来：

　　攻击者常用的网页木马攻击手段按照用户交互程度，可以分为主动攻击和被动攻击两种。

　　主动攻击方式，就是攻击者通过各种欺骗，引诱等手段，诱使用户访问放置有网页木马的网站，如果用户不小心访问了该恶意网站，就有可能感染恶意软件。这种攻击方式常见的案例有，攻击者在各种论坛、聊天室、博客留言等用户集中的区域发布各种色情内容的连接、在各种在线游戏的聊天频道中发布各种中奖抽奖信息、使用各种即时通讯软件手动或通过之前被感染的用户自动向联系人发送带欺骗性质的网站链接等。

　　被动攻击方式，是指攻击者通过入侵互联网上访问量大的站点，并在其页面中插入网页木马的代码，目前在IDC机房和企业内网中流行的通过ARP欺骗插入恶意网页链接也属于被动攻击方式，这种攻击方式属于广撒网的攻击方式，访问到该网站的用户都有可能感染其所带网页木马种植的恶意软件。

　攻击手法花样翻新，网页木马防不胜防，处于技术弱势地位的用户如何进行防御：

　　1、 系统补丁要及时更新，绝大部分的网页木马受害者都忽略了自己所使用的系统及应用软件的补丁升级。毕竟只有极少数的攻击者会使用昂贵的0day 浏览器漏洞来做网页木马，及时更新系统及软件的安全补丁可以防御大部分的网页木马。

　　2、 安装并及时更新反病毒软件，用户可尽量选择网页木马查杀能力较强的反病毒软件，并及时更新病毒特征库，这样的话，即使网页木马使用了最新的加密技术躲过反病毒软件的检测，但较新的病毒特征库也能尽可能用户免受紧跟网页木马而来的恶意软件的损害。

　　3、 使用第三方浏览器，由于目前互联网上常见的网页木马所使用的是针对IE浏览器及其ActiveX控件的漏洞，因此，使用Firefox/Opera等非IE内核的第三方浏览器可以从源头上堵住网页木马的攻击，不过第三方浏览器在页面兼容性上稍逊IE浏览器，而且一些特别的网页，如各种使用ActiveX密码登陆控件的网上银行不能使用第三方浏览器登陆，用户在浏览这类网页时可使用IE浏览器。

　　4、 养成安全的网站浏览习惯，用户应该养成安全的网站浏览习惯，不要随便点击各种来源不明，说明带有引诱语言的链接，防止落入攻击者的陷阱；遇到合法网站被攻击者攻陷并挂上网页木马，用户也应该报告网站管理员。