Webmail攻防实战(8)
来源:云南设计港 发布时间:2007-11-12 13:50:00
浏览器的漏洞和恶意脚本程序导致了cookie信息的泄漏,与cookie信息泄漏不同,URL会话信息被泄漏,则是完全出在HTTP协议上,除非修改HTTP协议。虽然RFC2616里指出referer域是敏感信息(SensitiveInformation),建议浏览器提供友好界面让用户能够允许或禁用传输敏感信息域,不过目前尚未有哪一家浏览器提供了这样的功能界面。
可见,无论是cookie会话跟踪还是URL会话跟踪,都存在着不少的安全问题,所以WebMail系统有必要采取措施加强会话安全:
(1)灵活使用会话跟踪技术:客户端支持cookie时,使用相对比较安全的临时型cookie会话跟踪机制,否则,使用URL会话跟踪,JSP等开发程序能很容易做到这一点。
(2)结合多种会话跟踪技术:同时结合cookie、URL会话跟踪技术进行会话跟踪,大大增加攻击者难度。
(3)跟客户端IP地址相结合:21cn.com、qmail的sqWebMail等WebMail系统,就是把当前会话与客户端IP地址结合在一起来加强安全的。
(4)合理设置会话超时时间:在一定时间内客户端没有连接请求则认为会话超时(timeout)。太短了,给用户带来不便;太长了,给攻击者带来方便。
七、WebMail其他安全
如果用户在WebMail里设置了自动回复,攻击者利用这一点,在另一个邮箱里也设置自动回复,并发一封邮件给用户,那么邮件很快就会塞满用户的邮箱,迫使用户不得不取消自动回复,所以,良好的自动回复策略应该是在一定时间内来自同一邮件地址的第二封邮件不应该被自动回复。
攻击者还会在邮件附件中夹带病毒、木马等恶性程序来攻击用户的电脑,甚至用来窃取WebMail密码,所以,对于不明邮件,用户不要奢望那是攻瑰和情书,在对附件进行病毒查杀之前,不要轻易打开它的附件。
为了防止垃圾邮件,WebMail系统应有良好的反垃圾邮件功能,一是系统级的垃圾邮件过滤,对一些被投诉和列入反垃圾邮件组织黑名单的邮件地址进行过滤,二是用户级的垃圾邮件过滤,使WebMail用户可以定制自己的邮件过滤规则,拒绝不受欢迎的邮件,免受垃圾邮件的困扰。
使用一些嗅探监听程序,攻击者甚至不需要很高深的专业知识,就能很轻易地嗅探监听到用户WebMail的密码、邮件内容等。有一个叫“密码 * ”的黑客程序,几乎能监听到国内所有免费邮箱的密码。所以,WebMail系统有必要支持SSI,对浏览器与服务器之间传输的数据进行加密,防止被嗅探监听。
一些WebMail系统支持数字签名和数字加密,在WebMail内可以导入基于公钥加密机制(如CA认证中心颁发的数字证书)产生的公私密钥对,能有效地保证邮件的保密性、完整性和不可抵赖性,不过,鉴于WebMail在其他方面的安全问题,一旦攻击者侵入用户的WebMail,用户反而得不偿失,甚至会导致私钥的泄漏。
WebMail系统程序上的漏洞也值得关注,如IMHOWebMail远程帐户劫持漏洞、BasiliXWebMail远程任意文件泄露漏洞、W3MailWebMail执行任意命令漏洞等,甚至21cn.com都曾有过重要路径泄漏漏洞。
从上面我们可以看到,WebMail的安全问题不容乐观,如果要较好地解决它,一方面要增强WebMail系统的安全性,另一方面则依赖于用户对WebMail的正确使用,这些在上面都有讨论,在此就不赘述。如果用户在正确使用WebMail后仍然存在安全问题,那么剩下的,就是去选择一个好的邮件服务商,或者通过邮件客户端软件来收发邮件,不过,使用outlook等邮件客户端软件又会引发其它的安全问题,例如爱虫、求职信等病毒就是利用outlook的漏洞来扩散传播和危害用户的。
猜你喜欢
- 社区赢利是广大站长非常关心的问题,“Yes玩”是康盛创想(Comsenz)为了助力站长赢利,潜心推出的一款官方插件产品。论坛游戏插件“Yes
- 相信不少站长都听说过站长世界webmasterworld.com(也有的是翻为网管世界)这个论坛。这是世界上最著名的站长们聚集的地方,谈论各
- 一、Linux .NET Core简介 一直以来,微软只对自家平台提供.NET支持,这样等于让这个“理论上”可以跨平台的框架在Li
- Ecshop没法直接整合Dedecms,要通过Ucenter整合在一起,通过ucenter整合echsop和discuz的用户。当然同时也可
- 本人做网赚也有一段日子了,其中酸甜苦辣应有尽有,目前网赚行业中国内发展规模落后于国外,所以现在做网赚主要还是做国外的项目,既然是国外项目那自
- 完成了对Exchange Server 2003的安装,不过在安装完成之后,我们还需要对其进行一些基本的配置。今天我就给大家介绍一下如何对E
- 随着电子商务的进一步发展,越来越多的朋友除了开网店之外都已经有了自己的网站或者正准备做自己的网站。由于目前网站建设市场还不是很规范,所以难免
- 第一站 Apache的历史与前景 1995年,美国国家计算机安全协会(NCSA)的开发者创建了NCSZ全球网络服务软件,其最大的特点是HTT
- docker容器下配置jupyter notebook,主要是为了编写python代码,更具体点是做深度学习的开发。jupyter web形
- 又是伪原创的话题,这个话题关心的人其实也比较多,网上伪原创的方法也有很多,比如换行啊,换页啊,多篇文章融合啊,但是这种伪原创的方法越来越不受
- 1.永远不要放过网页的title,这个地方应该是你每次优化的重点,就像玩CS一样,它就相当于重狙,非常有效,一击必杀。2.请不要在title
- 参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处
- ubuntu系统默认root用户是不能登录的,密码也是空的。如果要使用root用户登录,必须先为root用户设置密码 打开终端,输入:sud
- Kesioncms V6版本系列产品开发的网站已支持多种的运行方式如全静态、全动态、部分静态、伪静态(带问号,无需组件)、rewrite组件
- 内容摘要:Google AdSesne一直在努力寻找、测试新的广告方式,就像上次Simon发现AFC广告组中有连结组的新Googl
- linux查看防火墙状态与开启关闭命令有以下两种方式:一、service方式查看防火墙状态:[root@centos6 ~]# servic
- 今天看到一篇文章,深有感触。做seo的时间不长,经验就比较少。希望这篇文章能帮新手解决一点小难题!很多人都在自己的SEO经验文章里提到“伪原
- 我们在使用Windows 2000 server自带的IIS(Internet Information Server,Internet信息服
- 10月15日,第一视频(0082.HK)董事局主席张力军表示,第一视频斥资1.68亿人民币收购中国品牌手机游戏开发服务商Dragon Joy
- 前言:由于Linux下很多软件安装必须网络环境下进行,因此,对于如何在VMware下进行上网,我折腾了至少三天,今天上午,终于搜到一遍技术文