有个例子：

gmail钓鱼攻击，我有一种在某种场景下比较经典的钓鱼方法，成功率大于50%，可以顺利拿到被攻击者的密码。攻击思想是：用自己的服务攻击自己。

随着web应用的多向性发展，分离、聚合，甚至可以构成一个web os。比如google这样的。现在的web2.0讲究mashup，比如google就有自己的gadgets，这在google wave/igoogle里得到巨大的发挥。再比如opensocial api，mashup进那么多优秀的第三方应用。

这些看似分离的服务，在攻击中能起到什么样的作用呢？

浏览器的同源策略很不错吧？可是人的思维就做不到如此严格的同源。用户很难想象同样是来自google域下的服务，居然成为帮凶危害google另一个域下的服务。这样具有欺骗用户思维的伎俩大多数都可以称为钓鱼攻击。在web2.0时代，高级钓鱼攻击技术就要让用户看起来好像就应该这样，好像就应该有这个功能。这就是原生态。这样的原生态可以是：一个弹出的从配色、文字上都与当前页面极度和谐的DIV，一个js load进来的伪页。只要这样的攻击发生，用户非常难以发觉。

但是我要弹出个本不存在的DIV或者load进一个伪页，就需要XSS，没有XSS怎么办，在适合的场景就可以利用这个“web os”下其他可以利用的服务。比如google的https://spreadsheets.google.com/，大家想过这样的服务能做什么吗，如何危害google的其他服务？或者人人网的http://share.renren.com/，这个能做什么，又如何危害renren.com的其他服务？我们不需要XSS/CSRF。

web是危险的，web2.0更危险，因为应用更复杂，聚合度更高，用户参与更多！用户相信品牌，用户觉得google是安全，那么google wave就应该是很安全的，就是这样，用户思维做不到严格同源。

gmail这种钓鱼攻击细节我会在http://xeyeteam.appspot.com/公布，请关注:)。