Webmail攻防实战.docVIP

　　Webmail攻防实战～教育资源库 　　ail是指利用浏览器通过ail能够成为当今Inter上应用最广泛的网络服务，ail可谓功不可没。　　由于用户的使用不当或者ail系统的开发不周，都有可能给ail的使用带来更多的安全威胁。同样，ail系统作为当今电子邮件系统的重要组成部份，它的安全性也是不可忽视的。 　　一、邮件地址欺骗 　　邮件地址欺骗是非常简单和容易的，攻击者针对用户的电子邮件地址，取一个相似的电子邮件名，在ail的邮箱配置中将发件人姓名配置成与用户一样的发件人姓名（有些ail系统没有提供此功能），然后冒充该用户发送电子邮件，在他人收到邮件时，往往不会从邮件地址、邮件信息头等上面做仔细检查，从发件人姓名、邮件内容等上面又看不出异样，误以为真，攻击者从而达到欺骗的目的。例如某用户的电子邮件名是tp欺骗使用，发件人地址是要攻击的用户的电子邮件地址，回复地址则是攻击者自已的电子邮件地址，那么这样就会具有更大的欺骗性，诱骗他人将邮件发送到攻击者的电子邮箱中。 　　所谓害人之心不可有，防人之心不可无，鉴于邮件地址欺骗的易于实现和危险性，我们不得不时时提防，以免上当受骗。对于ail系统而言，提供邮件信息头内容检查、smtp认证（如果该邮件系统支持smtp的话）等服务技术，将邮件地址欺骗带来的危害降至最小是非常有必要的。对邮件用户而言，认真检查邮件的发件人邮件地址、发件人IP地址、回复地址等邮件信息头内容是很重要的。 　　二、ail暴力破解 　　Inter上客户端与服务端的交互，基本上都是通过在客户端以提交表单的形式交由服务端程序（如CGI、ASP等）处理来实现的，ail的密码验证即如此，用户在浏览器的表单元素里输入帐户名、密码等信息并提交以后，服务端对其进行验证，如果正确的话，则欢迎用户进入自己的ail页面，否则，返回一个出错页面给客户端。 　　籍此，攻击者借助一些黑客工具，不断的用不同的密码尝试登录，通过比较返回页面的异同，从而判断出邮箱密码是否破解成功。帮助攻击者完成此类暴力破解的工具有不少，如hack、小榕的溯雪等，尤以溯雪的功能最为强大，它本身已经是一个功能完善的浏览器，通过分析和提取页面中的表单，给相应的表单元素挂上字典文件，再根据表单提交后返回的错误标志判断破解是否成功。 　　当然我们也看到，溯雪之类的ail的密码，像论坛、聊天室之类所有通过表单进行验证登录的帐户密码都是可以探测到的。 　　对于ail的暴力破解，许多ail系统都采取了相应的防范措施。如果某帐户在较短的时间内有多次错误登录，即认为该帐户受到了暴力破解，防范措施一般有如下三种： 　　1、禁用帐户：把受到暴力破解的帐户禁止一段时间登录，一般是5至10分钟，但是，如果攻击者总是尝试暴力破解，则该帐户就一直处于禁用状态不能登录，导致真正的用户不能访问自己的邮箱，从而形成DOS攻击。 　　2、禁止IP把进行暴力破解的IP地址禁止一段时间不能使用ail。这虽然在一定程度上解决了禁用帐户带来的问题，但更大的问题是，这势必导致在网吧、公司、学校甚至一些城域网内共用同一IP地址访问inter的用户不能使用该ail。如果攻击者采用多个代理地址轮循攻击，甚至采用分布式的破解攻击，那么禁止IP地址就难以防范了。 　　3、登录检验：这种防范措施一般与上面两种防范措施结合起来使用，在禁止不能登录的同时，返回给客户端的页面中包含一个随机产生的检验字符串，只有用户在相应的输入框里正确输入了该字符串才能进行登录，这样就能有效避免上面两种防范措施带来的负面影响。不过，攻击者依然有可乘之机，通过开发出相应的工具提取返回页面中的检验字符串，再将此检验字符串做为表单元素值提交，那么又可以形成有效的ail暴力破解了。如果检验字符串是包含在图片中，而图片的文件名又随机产生，那么攻击者就很难开发出相应的工具进行暴力破解，在这一点上，yahoo电邮就是一个非常出色的例子。 　　虽然ail的暴力破解有诸多的防范措施，但它还是很难被完全避免，如果ail系统把一分钟内五次错误的登录当成是暴力破解，那么攻击者就会在一分钟内只进行四次登录尝试。所以，防范ail暴力破解还主要靠用户自己采取良好的密码策略，如密码足够复杂、不与其他密码相同、密码定期更改等，这样，攻击者很难暴力破解成功。 　　三、邮箱密码恢复 　　难免会有用户遗失邮箱密码的情况，为了让用户能找回密码继续使用自己的邮箱，大多数ail系统都会向用户提供邮箱密码恢复机制，让用户回答一系列问题，如果答案都正确的话，就会让用户恢复自己邮箱的密码。但是，如果密码恢复机制不够合理和安全，就会给攻击者加以利用，轻松获取他人邮箱密码。 　　下面是许多ail系统密码恢复机制所采取的密码恢复步