网址欺骗　上网可要小心了

（1）     十进制IP格式欺骗 (建大型b2b网站 就到三雷科技)

由于某些原因(有可能是内部处理引起的),有的操作系统对IP地址的操作并不是通过我们常用的格式,就象是:aaa.bbb.ccc.ddd,而是相应的十进制数. 上面这类地址可以改写成十进制的值:aaa*256^3+bbb*256^2+cccc*256+ddd.这样,3396081195就是[202.108.22.43].你可以在浏览器中输入3396081195,你会发现你已经来到了www.a.shifen.com(我ping www.baidu.com,返回的是www.a.shifen.com)的网站上.你只要用某些软件(包括常用的工具,如ping)进行测试（例如：ping 3396081195）,你就可以判断出这个操作系统是否支持这种URLs的使用方式.
    在qq中你可能收到过这样的信息，信息中包含这样的url，大概的形式如下http://www.xxxxx.com@xxxxx
例：http://www.abc.com&item=q20@www.test.net/bcd/t123.asp
其真正的主机是www.test.net,即真正指向www.test.net/bcd/t123.asp，而www.abc.com不过是个假用户名，服务器会忽略它。地址栏中随便写上个像是“Http://abcdefg＠www.sohu.com”之类的地址再回车试试，还是照样儿进入搜狐网站。我们发现在这个全数字的URL中出现了一个"@"符号。事实上，在"http://"和"@"间的所有字符都是不起任何作用的。

    如果该操作系统支持十进制IP格式使用,那么就可以通过构造如下的URL来制造更大的迷惑:http://www.toronto.com@3396081195/,这个URL仍然指到这个公司.因为很多的网站都把HTTP的SessionID存在URL中,来代替使用Cookie,所以Internet使用者并不会注意URL中的数字值,这样上面构造的URL不会带来任何怀疑.密码部分可以省略,这样http://www.toronto.com@3396081195/的迷惑性更强. 同理二进制的ip可以转换为八进制，十六进制 ，应当具有相同的效果。

（2）间接寻址

例：http://www.aaa.com/abc/http://www.bbb.com,
在服务器端捕获请求信息后，把用户重定向到后面www.bbb.com这个目标网站上。

（2）     Unicode编码

Unicode编码有安全性的漏洞，这种编码本身也给识别网址带来了不便，“％20％30”这样的天书除了浏览器认识，恐怕没有人能看出它真正的内容。不过这只有在IE当中才有效。关于unicode编码比较繁琐，例如用％25表示％等等。我自己研究了u码很长时间了，还是没有弄明白。
例如：
%c0%af、%c1%9c、%e0%80%af都代表/
%c0%a0、%e0%80%a0代表空格