V poslednom období sme svedkami obrovského množstva webových stránok šíriacich malware. V minulosti sa tento spôsob šírenia pripisoval len stránkam v tkzv. "šedej zóne" internetu (kam patril hlavne porno a warez obsah...), no dnes nájdeme obrovské množstvo legitímnych webových stránok, ktoré sú infikované. Obrovské množstvo je ich už aj zo Slovenska a Česka, v súčasnosti sú ich stovky a neustále pribúdajú. Pritom ide o stránky na prvý pohľad neškodné (stránky rôznych spoločností, e-shopy, stránky miest, či združení a už ani nehovoriac o osobných stránkach a stránkach rôznych projektoch).

V drvivej väčšine prípadov ide o "ukradnutie" hesiel z PC autora webovej stránky. Tento autor je zvyčajne laik (i keď nie vždy a sú aj prípady profesionálov) so základnými vedomosťami v oblasti tvorby web stránok a často môže tvoriť len jednoduché statické html stránky, prípadne využiť základy PHP, či siahnuť po nejakom redakčnom systéme. Samozrejme to, že ľudia tvoria webové stránky je dobré, len treba dodržovať isté pravidlá a doporučenia. Kameňom úrazu je zväčša nahrávanie webovej prezentácie na server webhostingu. Používateľ využije jeden z mnohých väčšinou zdarma dostupných FTP klientov (ako Total Comader, FileZilla... ) a v ňom si uloží heslo k svojmu FTP účtu. Neskôr dôjde k infikovaniu jeho PC tými najrôznejšími spôsobmi a úlohou infiltrácie je práve "ukradnúť" a zneužiť heslo uložené vo FTP klientovi. Zásadným problémom je, že tieto heslá nie sú chránené prípadne len veľmi slabo - nie sú dostatočne silno zakódované a tak dôjde k ich zneužitiu. A práve týmto spôsobom je infikovaných najviac legitímnych stránok. Samozrejme sú tu aj ďalšie možnosti infekcie, útočník sa môže pokúsiť o "uhádnutie" hesla k FTP serveru, napríklad použitím brute-force (hrubej sily) - skúšaním rôznych kombinácií znakov alebo sa pokúsi využiť slovníkový útok založený na skúšaní tých najpoužívanejších výrazov. Toto "hádanie" hesla je však menej pravdepodobné, nakoľko administrátor má zväčša nastavenú maximálnu povolenú hodnotu pokusov o prihlásenie z jednej IP adresy. Častejším spôsobom môže byť zneužitie chýb v kóde samotnej webovej aplikácie či systému, jedná sa napríklad o XSS či SQL injection zraniteľnosti, táto téma je však vhodná skôr na samostatný článok. Trocha zriedkavejším spôsobom infekcie môže byť aj zneužitie chyby na strane servera poskytovateľa webhostingu, ale nie nemožným, vtedy by mohlo byť infikovaných mnoho stránok hostovaných týmto poskytovateľom. Tu záleží nakoľko je administrátor šikovný a ako dokáže server zabezpečiť. Medzi súčasné útoky môžeme zaradiť aj kombináciu "ukradnutia" hesla k FTP účte a následné nasadenie PHP červa, kde môže opäť dôjsť k infekcii ďalších stránok na serveri.

Ak spôsob infekcie prebehne krádežou hesla z FTP klienta v drvivej väčšine je do zdrojového kódu webovej stránky (najčastejšie index, teda úvodná stránka) pridaný škodlivý javascript, zvyčajne ku koncu zdrojového kódu. Nachádza sa medzi tagmi script, väčšinou v zakódovanej forme, aby nebolo ľahké dešifrovanie, týmto spôsobom útočník sťažuje odhalenie funkcie a úlohy tohto scriptu. Na stránke môže byť umiestnený aj "škodlivý" iframe medzi tagmi iframe. Samotný škodlivý kód sa tak nenachádza priamo na "infikovanej" stránke ale na inej webovej stránke - na inom serveri. Ide teda o vzdialené "odkazovanie" na škodlivý script. Pokiaľ dôjde k zneužitiu zraniteľností ako XSS je situácia obyčajne zdrvujúcejšia, pri využití zraniteľností ako SQL injection môže byť dôsledok aj fatálny. Zneužitie týchto zraniteľností zväčša umožní útočníkovi webovú stránku modifikovať či dostať sa k dôležitým niekedy aj veľmi cenným dátam.

Pre bežného návštevníka predstavuje infikovaná webová stránka pomerne veľké riziko. Záleží hlavne aký prehliadač, v akej verzii a s akými doplnkami - pluginmi, používa. Pokiaľ obsahuje prehliadač, či niektorý z pluginov bezpečnostnú chybu po návšteve infikovanej stránky môže bez akéhokoľvek pričinenia návštevníka dôjsť k infekcii jeho počítača. Toto je fakt, ktorému niekedy ťažko uveria bežní používatelia. Takže súčasná doba okrem spestrenia stránky rôznymi doplnkami, prináša aj riziko v podobe možnosti ich zneužitia (napríklad aj pri čítaní pdf súbotu).