根据大名鼎鼎的SANS学会的年度安全报告的研究，微软Office中基于Web的应用程序和安全漏洞成为互联网用户所面临的最大威胁之一。

　　根据SANS这个计算机培训和安全组织的观点，开发人员并没有使用安全编码技术来创建应用程序，这给了黑客们接触其所连接的丰富信息数据库的一个机会。

　　这份报告汇编了来自政府、安全公司和学院的安全威胁信息，本周三(11月29日)在伦敦将对它进行深入讨论。

　　Web应用程序通过互联网在PC机和服务器之间交换数据，而黑客们能够利用任何一端的漏洞来收集数据。对于网络上在线银行和电子商务应用程序，黑客们会使尽浑身解数来收集登录名、口令或信用卡数据。

　　这份报告还发现了微软Office的一些问题。这个应用程序套件中的漏洞在2006到2007年间暴涨了300%，主要是因为Excel中发现了更多的新漏洞。这些漏洞允许黑客构建一种危险的文档，即在打开时能用恶意软件感染计算机。

　　黑客们将这些恶意文档附加在电子邮件中，并使用了社会工程技术，如附加一个具有诱惑力的文件，欺骗用户相信这个文档很重要或者来自某个他们认识的某个人。

　　反垃圾邮件软件和安全软件能够阻止这种带有附件的电子邮件，不过微软的程序和文件格式使用相当广泛，所以这样做的效果微乎其微。

　　SANS认为，那些受骗的用户也应受到指责，因为它们经常很容易地就被人欺骗，或者安装他们不应当安装的软件。

　　本年我们还看到间谍软件或者秘密收集用户计算机数据的程序猛增。Webroot，作为另外一家为SANS的报告作出贡献的安全公司，进一步谈到，隐藏着间谍软件的Web站点在本年度增加了187%。

　　SANS说，只需花费5分钟就可以攻击一台连接到互联网的计算机。黑客们使用自动化的扫描工具来搜索未打补丁的个人电脑，进而利用其漏洞。

　　SANS建议Web开发人员利用Web应用程序扫描工具来查找程序中的漏洞。他们还应当使用安全的编码测试工具，实行一种渗透测试服务，为应用程序的开发制定安全策略。

　　IT管理人员应该使用Web应用程序防火墙，还要维持一个积极的补丁计划。
本篇文章来源于 安全中国-全球最大中文黑客门户 原文链接：http://www.anqn.com/news/a/2007-12-04/a0990601.shtml