我叫URL，即“Uniform Resource Locators”，意思是統(tǒng)一資源定位器。地址欄中的網(wǎng)址就屬于我URL的一種表達方式�；�本上所有訪問網(wǎng)站的朋友都會使用到我，所以我的作用是很大的。也許很多朋友都不知道，我可是很會騙人的。特別是有一群自稱黑客的家伙很喜歡讓我欺騙你們，趁你們不留心，就讓我?guī)�你進入植入了木馬的網(wǎng)頁。所以我今天要大膽的自揭其短，讓你們看清我，千萬不要被那些黑客利用我把你們給欺騙了。

　　說謊：URL欺騙的慣用招式

　　利用我URL騙人的方法有很多種，比如起個具有誘惑性的網(wǎng)站名稱或使用易混的字母數(shù)字掉包進行銀行網(wǎng)絡(luò)釣魚，還有漏洞百出的“%30%50”之類的Unicode編碼等等。但是利用我騙人最慣用的招式莫過于以下兩個：

　　1.＠標志過濾用戶名的解析

　　本來＠標志是E－mail地址的用戶名與主機的分隔符，但在我URL中同樣適用，而且功能如出一轍。HTTP（超文本傳輸協(xié)議）規(guī)定了我URL的完整格式是“Http://Name：Password＠IP地址或主機名”，其中的“IP地址或主機名”是必填項。＠標志與其前面的“Name：Password”，意為“用戶名：密碼”，屬于可選項。也就是說，在我URL中真正起解析作用的網(wǎng)址是從＠標志后面開始的，這就是欺騙原理。

　　舉例：某QQ好友發(fā)給你一個說是有最新大片免費下載的地址 “Http://www.sohu.com＠www.Trojan.com.cn/HuiGeZi_Server.exe”，你敢上去就點嗎？的確，一眼看上去是“www.sohu.com”搜狐網(wǎng)站的鏈接，而實際上這兒的“www.sohu.com”只是個寫成搜狐網(wǎng)址形式的用戶名（此處的密碼為空），因為后面有＠標志。而真正鏈接的網(wǎng)址卻是“www.Trojan.com.cn/HuiGeZi_Server.exe”（這兒為了好理解，我杜撰了一個木馬網(wǎng)站，其下有“灰鴿子”服務(wù)端），只要大家點擊就會被種下木馬。這個發(fā)來的URL地址其實完全等同于“Http:// www.Trojan.com.cn/HuiGeZi_Server.exe”，而與前面的用戶名毫無關(guān)系，只是迷惑性可就大大提高了。即使沒有這個用戶名，也完全不影響瀏覽器對URL的解析。大家要是不信，就在地址欄中隨便寫上個像是“Http://abcdefg＠www.sohu.com”之類的地址再回車試試，還是照樣兒進入搜狐網(wǎng)站。

　　2.十進制的IP地址

　　常見的IP地址包括四個字節(jié)，一般表示形式為“xxx.xxx.xxx.xxx”（x表示一個十進制數(shù)碼），例如“61.135.132.12”。因為純粹的數(shù)字IP地址過于抽象、難以記憶，所以采用域名服務(wù)DNS來與之對應(yīng)。大家在瀏覽器地址欄中輸入“Http://www.sohu.com”與“Http://61.135.132.12”的結(jié)果完全一樣，都是訪問搜狐網(wǎng)站，因為61.135.132.12就是搜狐域名www.sohu.com的IP地址。不過，如果再試試“Http://1032291340”的話，結(jié)果一定會讓許多人吃驚，因為仍然打開了搜狐網(wǎng)站！

　　為什么一個十進制數(shù)“1032291340”等同于一個IP地址“61.135.132.12”呢？其實我剛才已經(jīng)暗示過大家了，四位點分十進制形式的IP地址“61.135.132.12”代表一組32位二進制數(shù)碼，如果合在一起再轉(zhuǎn)換成一個十進制數(shù)的話，答案就是1032291340。轉(zhuǎn)換方法很簡單，就是數(shù)制的按權(quán)展開：12×2560＋132×2561＋135×2562＋61×2563＝12＋33792＋8847360＋1023410176＝1032291340（基數(shù)為256，即28）。

　　明白了這個道理，大家再回頭看看剛才例子中的“www.Trojan.com.cn/HuiGeZi_Server.exe”。如果說這種字母域名還會露出一截狐貍尾巴的話，那么當(dāng)把它對應(yīng)的IP地址（假設(shè)為“61.135.132.13”）換算成一個十進制數(shù)，結(jié)果是1032291341，再結(jié)合＠標志過濾用戶的解析，欺騙性就又上了一個臺階??Http://www.sohu.com@1032291341。此時，還會有多少人會懷疑這個URL不是搜狐呢？

　　防范：查源代碼法防范URL欺騙

　　我URL欺騙的功夫還是有點厲害的（典型的自吹自擂），但是大家還是可以防范的。其實，對付這些利用我URL去欺騙引誘人上當(dāng)?shù)膼阂饩W(wǎng)頁，只須一個最簡單的招數(shù)即可奏效，那就是查看網(wǎng)頁的源代碼。當(dāng)然，這需要有一點兒網(wǎng)頁代碼閱讀的能力。

　　假設(shè)有人發(fā)給你一個的URL地址??Http://www.…….com而事先你又不知道它是否為URL欺騙的話，只須在瀏覽器地址欄中輸入“View-Source:Http://www.…….com”并回車，系統(tǒng)就會調(diào)用記事本來打開這個網(wǎng)頁的源代碼。接下來就是在其中搜索一下（可使用“編輯→查找”菜單）有沒有像是Format或者有<iframe src="ww.…….htm" name="……" width="0" height="0" frameborder="0">之類的危險編碼。如果有的話當(dāng)然要拒絕訪問了。