英国Netcraft于当地时间12月6日表示，美国太阳信用银行（SunTrust Banks）的网站存在跨站脚本执行（Cross Site Scripting）弱点。该公司同时还证实已经出现了恶意利用该安全漏洞的仿冒网页（phishing）。Netcraft表示，“由于开发人员不小心和测试不充分，使得网上银行出现了重大问题”，并呼吁不要制作可能被网页仿冒等恶意利用的网站。

　　此次Netcraft公布的安全漏洞，可在太阳信用银行的官方网站（网页）中插入任意内容（脚本）。当用户点击做过手脚的链接后，浏览器将显示太阳信用银行的官方网页，地址栏则显示“http://www.suntrust.com/”开头的正规URL。但在网页的局部将显示假冒网站中的内容（网页部件）。

　　网页中显示的假冒内容提示用户输入卡号和密码等。如果用户误以为该网页的所有内容属于太阳信用银行并按要求输入，则上述信息将被发送到假冒网站。

　　事实上，过去在太阳信用银行网站中也曾发现同样的安全漏洞。并且同样是由Netcraft于2004年9月份公布的。当时发现的安全漏洞也是在正规网页中插入冒牌网站的内容。

　　Netcraft过去一直强调，“跨站脚本执行和script injection安全漏洞很容易被网上骗子恶意利用”。不仅是网络银行，所有要求输入个人信息的网站在制作网页时都应该禁止插入伪装及非法信息内容。已提供服务的网站最好检查是否存在可能被恶意利用的网页或Web应用软件。如果被不法之徒利用后再来检查则悔之晚矣。