Webmail攻防实战
Webmail是指利用浏览器经过web方法来收发电子邮件的办事或技能,不需借助邮件客户端,可以说只要能上彀就能利用webmail,极大中央便了用户对邮件的收发。对付不克不及纯熟利用邮件客户端,大概在网吧未便利用邮件客户真个用户来说,webmail更是必不可少的选择。Email可以或许成为当今internet上应用最广泛的网络办事,webmail可谓功不可没。
由于用户的利用不妥大概webmail系统的开辟不周,都有可能给webmail的利用带来更多的安全威胁。同样,webmail系统作为当今电子邮件系统的重要构成部份,它的安全性也是不可轻忽的。
一、邮件地点欺骗
邮件地点欺骗是非常简略和容易的,打击者针对用户的电子邮件地点,取一个相似的电子邮件名,在webmail的邮箱设置装备摆设中将“发件人姓名”设置装备摆设成与用户一样的发件人姓名(有些webmail系统没有提供此功能),然后假冒该用户发送电子邮件,在他人收到邮件时,每每不会从邮件地点、邮件信息头等上面做仔细查抄,从发件人姓名、邮件内容等上面又看不出异常,误以为真,打击者从而到达欺骗的目的。例如某用户的电子邮件名是wolfe,打击者就会取w0lfe、wo1fe、wolfee、woolfe之类相似的电子邮件名来举行欺骗。固然免费的午餐越来越难吃,但照旧有很多用户利用的是免费电子邮箱,经过注册申请,打击者很容易得到相似的电子邮件地点。
人们通常以为电子邮件的复兴地点就是它的发件人地点,其实否则,在RFC 822中明确定义了发件人地点和复兴地点可以纷歧样,熟悉电子邮件客户端利用的用户也会明确这一点,在设置装备摆设帐户属性或撰写邮件时,可以指定与发件人地点差别的复兴地点。由于用户在收到某个邮件时,固然会查抄发件人地点能否真实,但在复兴时,并不会对复兴地点做出仔细的查抄,以是,如果配合smtp欺骗利用,发件人地点是要打击的用户的电子邮件地点,复兴地点则是打击者自已的电子邮件地点,那么如许就会具有更大的欺骗性,诱骗他人将邮件发送到打击者的电子邮箱中。
所谓害人之心不可有,防人之心不可无,鉴于邮件地点欺骗的易于完成和伤害性,我们不得时时时防范,以免上当上当。对付webmail系统而言,提供邮件信息头内容查抄、smtp认证(如果该邮件系统支持smtp的话)等办事技能,将邮件地点欺骗带来的危害降至最小是非常有必要的。对邮件用户而言,认真查抄邮件的发件人邮件地点、发件人IP地点、复兴地点等邮件信息头内容是很重要的。
二、Webmail暴力破解
Internet上客户端与办事真个交互,基本上都是经过在客户端以提交表单的形式交由办事端步伐(如CGI、ASP等)处置惩罚来完成的,webmail的密码验证即如此,用户在浏览器的表单元素里输出帐户名、密码等信息并提交以后,办事端对其举行验证,如果精确的话,则接待用户进入本身的webmail页面,否则,前往一个出错页面给客户端。
籍此,打击者借助一些黑客东西,不断的用差别的密码尝试登录,经过比较前往页面的异同,从而果断出邮箱密码能否破解成功。帮助打击者完成此类暴力破解的东西有不少,如wwwhack、小榕的溯雪等,尤以溯雪的功能最为强大,它本身已经是一个功能美满的浏览器,经过分析和提取页面中的表单,给相应的表单元素挂上字典文件,再凭据表单提交后前往的错误标记果断破解能否成功。
当然我们也看到,溯雪之类的web探测器,可以探测到的不但是webmail的密码,像论坛、聊天室之类全部经过表单举行验证登录的帐户密码都是可以探测到的。
对付webmail的暴力破解,许多webmail系统都接纳了相应的防备措施。如果某帐户在较短的时间内有多次错误登录,即认为该帐户受到了暴力破解,防备措施一般有如下三种:
1、 禁用帐户:把受到暴力破解的帐户禁止一段时间登录,一般是5至10分钟,但是,如果打击者总是尝试暴力破解,则该帐户就一直处于禁用状态不克不及登录,招致真正的用户不克不及拜访本身的邮箱,从而构成DOS打击。
2、 禁止IP地点:把举行暴力破解的IP地点禁止一段时间不克不及利用webmail。这固然在肯定程度上办理了“禁用帐户”带来的题目,但更大的题目是,这势必招致在网吧、公司、学校乃至一些城域网内共用统一IP地点拜访internet的用户不克不及利用该webmail。如果打击者接纳多个代理地点轮循打击,乃至接纳分布式的破解打击,那么“禁止IP地点”就难以防备了。
3、 登录检验:这种防备措施一般与上面两种防备措施联合起来利用,在禁止不克不及登录的同时,前往给客户真个页面中包含一个随机产生的检验字符串,只要效户在相应的输出框里精确输出了该字符串才气举行登录,如许就能有效制止上面两种防备措施带来的负面影响。不外,打击者依然有无隙可乘,经过开辟出相应的东西提取前往页面中的检验字符串,再将此检验字符串做为表单元素值提交,那么又可以构成有效的webmail暴力破解了。如果检验字符串是包含在图片中,而图片的文件名又随机产生,那么打击者就很难开辟出相应的东西举行暴力破解,在这一点上,yahoo电邮就是一个非常出色的例子。
固然webmail的暴力破解有诸多的防备措施,但它照旧很难被完全制止,如果webmail系统把一分钟内五次错误的登录当成是暴力破解,那么打击者就会在一分钟内只举行四次登录尝试。以是,防备webmail暴力破解还主要靠用户本身接纳良好的密码计谋,如密码充足复杂、不与其他密码相同、密码活期变动等,如许,打击者很难暴力破解成功。
三、邮箱密码恢复
难免会有效户遗失邮箱密码的情况,为了让用户能找回密码连续利用本身的邮箱,大多数webmail系统都会向用户提供邮箱密码恢复机制,让用户答复一系列题目,如果答案都精确的话,就会让用户恢复本身邮箱的密码。但是,如果密码恢复机制不敷公道和安全,就会给打击者加以利用,轻松获取他人邮箱密码。
下面是许多webmail系统密码恢复机制所接纳的密码恢复步调,只要效户对每步提出的题目答复精确的话才会进入下一步,否则前往出错页面,针对每一步,打击者都有无隙可乘:
第一步:输出帐户:在进入密码恢复页面后首先提示用户输出要恢复密码的邮箱帐户。这一步对打击者而言天然不成题目,邮箱帐户就是他要打击的目的。
第二步:输出生日:提示用户按年代日输出本身的生日。这一步对打击者而言也很轻松,年代日的分列组合很小,借助溯雪等东西很快就能穷举破解出来,以是webmail系统有必要在此接纳暴力破解防备措施。并且每个用户必要细致的是,打击者纷歧定来自地球的另一端,很可能就是你身边的人,或许这些人更想晓得你邮箱里有什么秘密,而他们要弄清你的生日每每是件十拿九稳的事变,你不是昨天赋过了生日party吗?你不是刚刚把身份证复印件交给人事部吗?以是,为了邮箱安全,用户是不是要把真实的生日做为邮箱注册信息,webmail系统是不是肯定要用户输出真实的生日做为注册信息,这还有待思量。
第三步:题目答复:提示用户答复本身设定的题目,答案也是用户本身设定的答案。在这一步,打击者每每只要靠推测,不幸的是,很多用户的题目和答案是如此的简略,以致于打击者能轻易的推测出来,例如提出的题目只是知识性的题目、提出的题目和答案相同等。打击者对用户越熟悉,成功的可能性就越大,例如有效户问“你男朋侪是哪里人”,殊不知,打击者正是她的男朋侪。以是,用户把题目设置成唯有本身晓得的答案至关重要,如许打击者才很难过逞,不外不要忘了答案,否则就得失相当了。
在用户精确完成以上各步调以后,webmail系统就会让用户恢复本身邮箱帐户的密码。密码恢复的方法又各有差别,一般有如下几种方法,安全程度各有差别:
1、 页面前往:前往的页面里表现用户的邮箱密码。如许故然方便省事,但是如果让打击者得到密码,则能在丝毫不轰动用户的情况下利用用户的邮箱,使得打击者能长期监视用户的邮箱利用情况,给用户带来更大的安全隐患。
2、 邮件发送:将密码发送到用户注册时注销的另一个邮箱里。对付打击者来说,忙了半天,仍然是一无所得,除非连续去打击另一个邮箱;对付用户来说,在另一个邮箱里收到发来的密码则是一个告诫,说明有打击者推测到了他的邮箱密码提示题目,迫利用户尽快改变本身的密码提示题目。
不外,如果用户注册时注销的不是一个精确的邮箱,大概该邮箱已经生效,那么,如许不但是打击者,就是用户本人也永久得不到密码了。有些webmail系统在注册时要求用户注销精确的邮件地点,并把邮箱守旧的验证信息发往该邮件地点,不外如许仍然不克不及制止用户在邮箱生效后不克不及恢复本身邮箱密码的情况发生。
3、 密码重设:让用户重新设置一个密码。这种方法相比“页面前往”方法,在打击者重设密码后,用户由于不克不及正常登录进本身的邮箱而能察觉出受到打击,安全性相对好一些;但是相比“邮件发送”方法,由于打击者能立即修正邮箱密码,少了一层保证,安全性又差一些。
由“页面前往”或“邮件发送”返来的密码可以明显看出,该电子邮件系统是把邮箱帐户的密码未经加密间接以明文生存在数据库或LDAP办事器中。如许就形成很大的安全隐患,webmail系统管理员或侵入数据库的打击者能轻易获取用户的邮箱
--------------------------------------------------------------------------------
密码,用户却完全不知情,以是为了加大保密性,有必要将邮箱密码加密后再以密文存入数据库,最好用不可逆的单向加密算法,如md5等。
邮箱密码恢复机制能否安全,主要照旧看webmail系统提出什么样的题目、接纳什么样的问答方法,例如将多个密码恢复步调中提出的题目放在一步中一同提出,就会相应地增加打击者的难度从而提高安全性,像搜狐邮件、新浪邮件和yahoo电邮等都是一些令人扫兴的例子。
四、恶性HTML邮件
电子邮件有两种款式:纯文本(txt)和超文本(html)。Html邮件由html言语写成,当经过支持html的邮件客户端或以浏览器登录进入webmail检察时,有字体、颜色、链接、图像、声音等等,给人以深刻的印象,许多渣滓广告就是以html邮件款式发送的。
利用html邮件,打击者能举行电子邮件欺骗,乃至欺骗用户变动本身的邮箱密码。例如打击者经过分析webmail密码修正页面的各表单元素,计划一个隐含有同样表单的html页面,预先给“新密码”表单元素赋值,然后以html邮件发送给用户,欺骗用户说在页面中提交某个表单或点击某个链接就能翻开一个精美网页,用户照做后,在翻开“精美网页”的同时,一个修正邮箱密码的表单请求已经发向webmail系统,而这一切,用户完全不知情,直到下次不克不及登录进本身邮箱的时候。
为了防备此类的html邮件欺骗,在修正邮箱设置装备摆设时,特别是修正邮箱密码和提示题目时,webmail系统有必要让用户输出旧密码加以确认,如许也能有效防备载取到以后webmail会话的打击者(下面会先容)变动邮箱密码。
经过在html邮件中嵌入恶性剧本步伐,打击者还能举行很多破坏打击,如修正注册表、合法操作文件、款式化硬盘、耗尽系统资源、修正“开端”菜单等,乃至能删除和发送用户的邮件、拜访用户的地点簿、修正邮箱帐户密码等等。恶性剧本步伐一般由JavaScript或VBScript剧本言语写成,内嵌在html言语中,经过挪用ActiveX控件大概联合WSH来到达破坏打击目的。深受修正浏览器的恶性html页面之痛,饱经“高兴韶光”邮件病毒之苦的朋侪,对此应该不会陌生。下面是两个简略的恶性剧本步伐:
一、翻开无数个浏览器窗口,直至CPU超负荷,非关机不可:
二、修正注册表:
鉴于剧本步伐可能带来的伤害,webmail系统完全有必要禁止html邮件中的剧本步伐。禁止剧本步伐的基本做法就是过滤失html源步伐中可以或许使剧本步伐运转的代码,如script元素等,在这方面做的最好的莫过于hotmail了。下面是些罕见的绕过剧本步伐过滤的方法,不少的webmail系统仍然没有完全改正:
1、 在html言语里,除了script元素内的或在script元素内引入的剧本步伐能在html页面装载时被运转外,利用事件属性也能挪用剧本步伐运转,事件属性在JavaScript言语里被称为事件句柄,用于对页面上的某个特定事件(如鼠标点击、表单提交)做出响应,驱动javascript步伐运转。它的语法如下:
例如:
Click here
2、 URI(Universal Resource Identifier:通用资源标识)用于定位Internet上每种可用的资源,如HTML文档、图像、声音等。浏览器凭据URI的资源类型(URI scheme)挪用相应的步伐操作该资源,如果把一些元素的URI属性值的资源类型设为javascript,则可以或许挪用javascript步伐运转。语法如下,细致要用“;”分隔差别的javascript语句:
例如:
Click here
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
