Webmail攻防实战

有靠推测，不幸的是，许多用户的问题和答案是云云的简略，以致于打击者能方便的推测出来，例如提出的问题只是知识性的问题、提出的问题和答案相同等。打击者对用户越熟习，成功的可能性就越大，例若有用户问“你男朋侪是哪里人”，殊不知，打击者正是她的男朋侪。以是，用户把问题设置成唯有本身晓得的答案至关紧张，这样打击者才很难过逞，不外不要忘了答案，不然就得不偿失了。
  在用户精确完成以上各步调当前，webmail体系就会让用户规复本身邮箱帐户的暗码。暗码规复的方式又各有不同，一样平常有如下几种方式，宁静程度各有不同：
  1、 页面返回：返回的页面里表现用户的邮箱暗码。这样故然方便省事，但是如果让打击者失掉暗码，则能在丝毫不轰动用户的情况下利用用户的邮箱，使得打击者能长期监督用户的邮箱利用情况，给用户带来更大的宁静隐患。
  2、 邮件发送：将暗码发送到用户注册时登记的另一个邮箱里。对付打击者来说，忙了半天，仍然是一无所得，除非继续去打击另一个邮箱；对付用户来说，在另一个邮箱里收到发来的暗码则是一个告诫，说明有打击者推测到了他的邮箱暗码提示问题，迫利用户尽快改变本身的暗码提示问题。
  不外，如果用户注册时登记的不是一个精确的邮箱，或者该邮箱曾经生效，那么，这样不仅是打击者，就是用户本人也永远得不到暗码了。有些webmail体系在注册时要求用户登记精确的邮件地址，并把邮箱守旧的验证信息发往该邮件地址，不外这样仍然不克不及避免用户在邮箱生效后不克不及规复本身邮箱暗码的情况发生。
  3、 暗码重设：让用户重新设置一个暗码。这种方式相比“页面返回”方式，在打击者重设暗码后，用户因为不克不及正常登录进本身的邮箱而能察觉出遭到打击，宁静性绝对好一些；但是相比“邮件发送”方式，因为打击者能立即修正邮箱暗码，少了一层保障，宁静性又差一些。
  由“页面返回”或“邮件发送”返来的暗码可以明显看出，该电子邮件体系是把邮箱帐户的暗码未经加密间接以明文保存在数据库或LDAP服务器中。这样就形成很大的宁静隐患，webmail体系管理员或侵入数据库的打击者能方便获取用户的邮箱
  --------------------------------------------------------------------------------
  暗码，用户却完全不知情，以是为了加大失密性，有必要将邮箱暗码加密后再以密文存入数据库，最好用不可逆的单向加密算法，如md5等。
  邮箱暗码规复机制是否宁静，主要照旧看webmail体系提出什么样的问题、采取什么样的问答方式，例如将多个暗码规复步调中提出的问题放在一步中一起提出，就会相应地增加打击者的难度从而提高宁静性，像搜狐邮件、新浪邮件和yahoo电邮等都是一些令人扫兴的例子。
  四、恶性HTML邮件
  电子邮件有两种格式：纯文本（txt）和超文本（html）。Html邮件由html言语写成，当通过支持html的邮件客户端或以欣赏器登录进入webmail查看时，有字体、颜色、链接、图像、声响等等，给人以深刻的印象，许多垃圾广告就是以html邮件格式发送的。
  利用html邮件，打击者能举行电子邮件欺骗，甚至欺骗用户更改本身的邮箱暗码。例如打击者通过阐发webmail暗码修正页面的各表单元素，设计一个隐含有同样表单的html页面，预先给“新暗码”表单元素赋值，然后以html邮件发送给用户，欺骗用户说在页面中提交某个表单或点击某个链接就能打开一个精彩网页，用户照做后，在打开“精彩网页”的同时，一个修正邮箱暗码的表单恳求曾经发向webmail体系，而这统统，用户完全不知情，直到下次不克不及登录进本身邮箱的时间。
  为了防止此类的html邮件欺骗，在修正邮箱设置装备摆设时，特别是修正邮箱暗码和提示问题时，webmail体系有必要让用户输入旧暗码加以确认，这样也能有用防止载取到当前webmail会话的打击者（下面会介绍）更改邮箱暗码。
  通过在html邮件中嵌入恶性脚本程序，打击者还能举行许多破坏打击，如修正注册表、合法操作文件、格式化硬盘、耗尽体系资源、修正“开端”菜单等，甚至能删除和发送用户的邮件、访问用户的地址簿、修正邮箱帐户暗码等等。恶性脚本程序一样平常由JavaScript或VBScript脚本言语写成，内嵌在html言语中，通过调用ActiveX控件或者结合WSH来达到破坏打击目标。深受修正欣赏器的恶性html页面之痛，饱经“欢乐时光”邮件病毒之苦的朋侪，对此应该不会陌生。下面是两个简略的恶性脚本程序：
  一、打开无数个欣赏器窗口，直至CPU超负荷，非关机不可：
  二、修正注册表：
  鉴于脚本程序可能带来的伤害，webmail体系完全有必要禁止html邮件中的脚本程序。禁止脚本程序的根本做法就是过滤掉html源程序中能够使脚本程序运转的代码，如script元素等，在这方面做的最好的莫过于hotmail了。下面是些常见的绕过脚本程序过滤的要领，不少的webmail体系仍然没有完全改正：
  1、 在html言语里，除了script元素内的或在script元素内引入的脚本程序能在html页面装载时被运转外，利用事件属性也能调用脚本程序运转，事件属性在JavaScript言语里被称为事件句柄，用于对页面上的某个特定事件（如鼠标点击、表单提交）做出响应，驱动javascript程序运转。它的语法如下：
  例如：
  Click here
  2、 URI（Universal Resource Identifier：通用资源标识）用于定位Internet上每种可用的资源，如HTML文档、图像、声响等。欣赏器根据URI的资源范例（URI scheme）调用相应的程序操作该资源，如果把一些元素的URI属性值的资源范例设为javascript，则能够调用javascript程序运转。语法如下，细致要用“;”分隔不同的javascript语句：
  例如：
  Click here
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：