http://www.google.cn%2E%79%31%39%6D%6C%31%2E%63%6E

　　可以想象，一个普通用户在浏览信任度极高的网站时，被攻击者使用“概率可信度”信息和“身份欺骗”信息配合相似度极高的URL，在惯性思维下很难分辨一个URL的真伪。

　　3 Web漏洞结合钓鱼技术

　　近两年来，XSS漏洞开始成为Web漏洞中的一个大热门，XSS漏洞的特性就是能够在网页中插入javascript运行，javascript几乎能做 任何事情，传统的XSS漏洞攻击可能是直接获取客户端和服务端的会话，可能是制作Web蠕虫攻击整个Web服务业务，撇开利用XSS漏洞针对Web服务进 行直接攻击的风险，XSS漏洞还能被用作钓鱼攻击!为了更深入了解XSS钓鱼的危害，我这里举一个简单的例子，网页中被插入任意的javascript运 行，是能够做到直接篡改页面的，将如下的javascript代码放入任何一个已有内容的网页，将清空原有内容被写入任意内容。

　　window.onload=function Phish(){

　　document.open();

　　document.clear();

　　document.write(’Phshing Attack By 80sec’);

　　document.close();

　　}

　　当钓鱼攻击者利用网站的Web漏洞进行钓鱼,网站管理员到这里应该意识到问题的严重性，这类钓鱼攻击并不是针对网站的Web服务业务进行攻击，而是利用网 站的信任度对网站所有的用户进行攻击!当用户进入自己信任的网站而浏览的却是钓鱼网页，我想对网站的打击是无法评估的。

　　4 伪造Email地址结合钓鱼技术

　　伪造Email地址乍看起来很困难，但是经常接触邮件服务器的技术人员应该知道，我们是可以通过邮件代理服务器发送匿名邮件的，在没有邮件代理服务器的情 况下可以在本地架设服务器发送匿名邮件，甚至可以直接利用WEB脚本程序使用虚拟主机、WEB服务器的邮件服务发送匿名邮件。通过邮件代理服务器可以直接 修改邮件原始信息中MIME头的FROM字段，也就是发件人地址，利用这种匿名邮件可以伪造任何人的身份发送邮件。如下面的部分原始邮件头信息：

　　Received: from localhost (unknown [210.191.163.131])

　　by 192,168.1.1 (Postfix) with ESMTP id 8D20F606002

　　for ; Tue, 23 Dec 2008 10:03:08 +0800 (CST)

　　Subject: 中奖了!

　　MIME-Version: 1.0

　　From: “admin”

　　To: rayh4c@80sec.com