Webmail攻防实战
Webmail是指利用欣赏器通过web方式来收发电子邮件的服务或技术,不需借助邮件客户端,可以说只需能上彀就能利用webmail,极大地方便了用户对邮件的收发。对付不克不及纯熟利用邮件客户端,或者在网吧不便利用邮件客户真个用户来说,webmail更是必不可少的选择。Email能够成为当今internet上应用最遍及的网络服务,webmail可谓功不可没。
由于用户的利用不妥或者webmail体系的开辟不周,都有可能给webmail的利用带来更多的宁静要挟。同样,webmail体系作为当今电子邮件体系的紧张组成部份,它的宁静性也是不可忽视的。
一、邮件地址欺骗
邮件地址欺骗黑白常简略和容易的,打击者针对用户的电子邮件地址,取一个类似的电子邮件名,在webmail的邮箱设置装备摆设中将“发件人姓名”设置装备摆设成与用户一样的发件人姓名(有些webmail体系没有提供此功效),然后冒充该用户发送电子邮件,在他人收到邮件时,往往不会从邮件地址、邮件信息头等下面做细致检查,从发件人姓名、邮件内容等下面又看不出异常,误以为真,打击者从而达到欺骗的目标。例如某用户的电子邮件名是wolfe,打击者就会取w0lfe、wo1fe、wolfee、woolfe之类类似的电子邮件名来举行欺骗。固然收费的午餐越来越难吃,但照旧有许多用户利用的是收费电子邮箱,通过注册请求,打击者很容易失掉类似的电子邮件地址。
人们通常以为电子邮件的回复地址就是它的发件人地址,其实不然,在RFC 822中明确定义了发件人地址和回复地址可以纷歧样,熟习电子邮件客户端利用的用户也会明确这一点,在设置装备摆设帐户属性或撰写邮件时,可以指定与发件人地址不同的回复地址。由于用户在收到某个邮件时,固然会检查发件人地址是否真实,但在回复时,并不会对回复地址做出细致的检查,以是,如果配合smtp欺骗利用,发件人地址是要打击的用户的电子邮件地址,回复地址则是打击者自已的电子邮件地址,那么这样就会具有更大的欺骗性,诱骗他人将邮件发送到打击者的电子邮箱中。
所谓害人之心不可有,防人之心不可无,鉴于邮件地址欺骗的易于完成和伤害性,我们不得时时时提防,以免上当上当。对付webmail体系而言,提供邮件信息头内容检查、smtp认证(如果该邮件体系支持smtp的话)等服务技术,将邮件地址欺骗带来的危害降至最小黑白常有必要的。对邮件用户而言,认真检查邮件的发件人邮件地址、发件人IP地址、回复地址等邮件信息头内容是很紧张的。
二、Webmail暴力破解
Internet上客户端与服务真个交互,根本上都是通过在客户端以提交表单的情势交由服务端程序(如CGI、ASP等)处置惩罚来完成的,webmail的暗码验证即云云,用户在欣赏器的表单元素里输入帐户名、暗码等信息并提交当前,服务端对其举行验证,如果精确的话,则接待用户进入本身的webmail页面,不然,返回一个出错页面给客户端。
籍此,打击者借助一些黑客工具,不断的用不同的暗码实验登录,通过比力返回页面的异同,从而判断出邮箱暗码是否破解成功。资助打击者完成此类暴力破解的工具有不少,如wwwhack、小榕的溯雪等,尤以溯雪的功效最为强大,它本身曾经是一个功效完善的欣赏器,通过阐发和提取页面中的表单,给相应的表单元素挂上字典文件,再根据表单提交后返回的错误标志判断破解是否成功。
当然我们也看到,溯雪之类的web探测器,可以探测到的不仅是webmail的暗码,像论坛、谈天室之类所有通过表单举行验证登录的帐户暗码都是可以探测到的。
对付webmail的暴力破解,许多webmail体系都采取了相应的防范措施。如果某帐户在较短的时间内有屡次错误登录,即以为该帐户遭到了暴力破解,防范措施一样平常有如下三种:
1、 禁用帐户:把遭到暴力破解的帐户禁止一段时间登录,一样平常是5至10分钟,但是,如果打击者总是实验暴力破解,则该帐户就不停处于禁用形态不克不及登录,导致真正的用户不克不及访问本身的邮箱,从而构成DOS打击。
2、 禁止IP地址:把举行暴力破解的IP地址禁止一段时间不克不及利用webmail。这固然在肯定程度上办理了“禁用帐户”带来的问题,但更大的问题是,这势必导致在网吧、公司、学校甚至一些城域网内共用统一IP地址访问internet的用户不克不及利用该webmail。如果打击者采用多个代理地址轮循打击,甚至采用漫衍式的破解打击,那么“禁止IP地址”就难以防范了。
3、 登录检验:这种防范措施一样平常与下面两种防范措施结合起来利用,在禁止不克不及登录的同时,返回给客户真个页面中包罗一个随机孕育发生的检验字符串,只有用户在相应的输入框里精确输入了该字符串才能举行登录,这样就能有用避免下面两种防范措施带来的负面影响。不外,打击者依然有无隙可乘,通过开辟出相应的工具提取返回页面中的检验字符串,再将此检验字符串做为表单元素值提交,那么又可以构成有用的webmail暴力破解了。如果检验字符串是包罗在图片中,而图片的文件名又随机孕育发生,那么打击者就很难开辟出相应的工具举行暴力破解,在这一点上,yahoo电邮就是一个非常出色的例子。
固然webmail的暴力破解有诸多的防范措施,但它照旧很难被完全避免,如果webmail体系把一分钟内五次错误的登录当成是暴力破解,那么打击者就会在一分钟内只举行四次登录实验。以是,防范webmail暴力破解还主要靠用户本身采取精良的暗码计谋,如暗码足够复杂、不与其他暗码相同、暗码定期更改等,这样,打击者很难暴力破解成功。
三、邮箱暗码规复
不免会有用户遗失邮箱暗码的情况,为了让用户能找回暗码继续利用本身的邮箱,大少数webmail体系都会向用户提供邮箱暗码规复机制,让用户答复一系列问题,如果答案都精确的话,就会让用户规复本身邮箱的暗码。但是,如果暗码规复机制不敷合理和宁静,就会给打击者加以利用,轻松获取他人邮箱暗码。
下面是许多webmail体系暗码规复机制所采取的暗码规复步调,只有用户对每步提出的问题答复精确的话才会进入下一步,不然返回出错页面,针对每一步,打击者都有无隙可乘:
第一步:输入帐户:在进入暗码规复页面后首先提示用户输入要规复暗码的邮箱帐户。这一步对打击者而言自然不成问题,邮箱帐户就是他要打击的目标。
第二步:输入生日:提示用户按年代日输入本身的生日。这一步对打击者而言也很轻松,年代日的分列组合很小,借助溯雪等工具很快就能穷举破解出来,以是webmail体系有必要在此采取暴力破解防范措施。而且每个用户必要细致的是,打击者纷歧定来自地球的另一端,很可能就是你身边的人,或许这些人更想晓得你邮箱里有什么机密,而他们要弄清你的生日往往是件十拿九稳的事情,你不是昨天赋过了生日party吗?你不是刚刚把身份证复印件交给人事部吗?以是,为了邮箱宁静,用户是不是要把真实的生日做为邮箱注册信息,webmail体系是不是肯定要用户输入真实的生日做为注册信息,这还有待思量。
第三步:问题答复:提示用户答复本身设定的问题,答案也是用户本身设定的答案。在这一步,打击者往往只
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
