如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。

浏览器在解析URL的时候默认丢掉@前面的所有东西。

比如 https://www.baidu.com@www.cnblogs.com/shenjuxian
不注意看的话会以为是百度的，其实跳转到了另一个网站，如果黑客在后面网站上挂马的话很容易就中招啦。

这里两个网址，看起来花里胡哨的，那如果后面跟一个ip呢：

https://www.baidu.com@111.229.229.111

看起来就稍微不那么显眼啦

ip中的点还是很难受，那就将它变为纯数字，计算方式如下：

111*256^3 + 229*256^2 + 229*256 + 111

然后构造url：https://www.baidu.com@1877337455
骚操作又学到了，大佬们太强了，这都能用起来。

方法一	@	http://www.a.com/login.html?url=http://www.a.com@b.com	时的网站地址及url均为原网站，通过@跳转至目标网站。
方法二	\	http://www.a.com/login.html?url=http://www.b.com\a.com	此时网站地址是原网站，但url是目标网站，通过 \ 绕过 \ 之后的网站。
方法三	\\	http://www.a.com/login.html?url=http://www.b.com\a.com	此时网站地址是原网站，但url是目标网站，通过 \\ 绕过 \\ 之后的网站。
方法四	?	http://www.a.com/login.html?url=http://www.b.com?a.com	此时网站地址是原网站，但url是目标网站，通过 ? 绕过 ? 之后的网站。
方法五	#	http://www.a.com/login.html?url=http://www.b.com#a.com	此时网站地址是原网站，但url是目标网站，通过 # 绕过 # 之后的网站。
方法六	.	http://www.a.com/login.html?url=.b.com	此时网站地址是原网站地址，但url是目标网站地址，由于 · 操作不易发现，所以可能会跳转至目标网站。
方法七	进制绕过	http://www.a.com/login.html?url=http://78456382	此时网站地址是原网站，但由于url链接不明显，所以可能会绕过原网站直接进入目标网站。
方法八	缺失协议	http://www.a.com/login.html?returnurl=http://www.b.com	此时网站直接跳转至目标网站。