Webmail攻防实战(8)
来源:云南设计港 发布时间:2007-11-12 13:50:00
浏览器的漏洞和恶意脚本程序导致了cookie信息的泄漏,与cookie信息泄漏不同,URL会话信息被泄漏,则是完全出在HTTP协议上,除非修改HTTP协议。虽然RFC2616里指出referer域是敏感信息(SensitiveInformation),建议浏览器提供友好界面让用户能够允许或禁用传输敏感信息域,不过目前尚未有哪一家浏览器提供了这样的功能界面。
可见,无论是cookie会话跟踪还是URL会话跟踪,都存在着不少的安全问题,所以WebMail系统有必要采取措施加强会话安全:
(1)灵活使用会话跟踪技术:客户端支持cookie时,使用相对比较安全的临时型cookie会话跟踪机制,否则,使用URL会话跟踪,JSP等开发程序能很容易做到这一点。
(2)结合多种会话跟踪技术:同时结合cookie、URL会话跟踪技术进行会话跟踪,大大增加攻击者难度。
(3)跟客户端IP地址相结合:21cn.com、qmail的sqWebMail等WebMail系统,就是把当前会话与客户端IP地址结合在一起来加强安全的。
(4)合理设置会话超时时间:在一定时间内客户端没有连接请求则认为会话超时(timeout)。太短了,给用户带来不便;太长了,给攻击者带来方便。
七、WebMail其他安全
如果用户在WebMail里设置了自动回复,攻击者利用这一点,在另一个邮箱里也设置自动回复,并发一封邮件给用户,那么邮件很快就会塞满用户的邮箱,迫使用户不得不取消自动回复,所以,良好的自动回复策略应该是在一定时间内来自同一邮件地址的第二封邮件不应该被自动回复。
攻击者还会在邮件附件中夹带病毒、木马等恶性程序来攻击用户的电脑,甚至用来窃取WebMail密码,所以,对于不明邮件,用户不要奢望那是攻瑰和情书,在对附件进行病毒查杀之前,不要轻易打开它的附件。
为了防止垃圾邮件,WebMail系统应有良好的反垃圾邮件功能,一是系统级的垃圾邮件过滤,对一些被投诉和列入反垃圾邮件组织黑名单的邮件地址进行过滤,二是用户级的垃圾邮件过滤,使WebMail用户可以定制自己的邮件过滤规则,拒绝不受欢迎的邮件,免受垃圾邮件的困扰。
使用一些嗅探监听程序,攻击者甚至不需要很高深的专业知识,就能很轻易地嗅探监听到用户WebMail的密码、邮件内容等。有一个叫“密码 * ”的黑客程序,几乎能监听到国内所有免费邮箱的密码。所以,WebMail系统有必要支持SSI,对浏览器与服务器之间传输的数据进行加密,防止被嗅探监听。
一些WebMail系统支持数字签名和数字加密,在WebMail内可以导入基于公钥加密机制(如CA认证中心颁发的数字证书)产生的公私密钥对,能有效地保证邮件的保密性、完整性和不可抵赖性,不过,鉴于WebMail在其他方面的安全问题,一旦攻击者侵入用户的WebMail,用户反而得不偿失,甚至会导致私钥的泄漏。
WebMail系统程序上的漏洞也值得关注,如IMHOWebMail远程帐户劫持漏洞、BasiliXWebMail远程任意文件泄露漏洞、W3MailWebMail执行任意命令漏洞等,甚至21cn.com都曾有过重要路径泄漏漏洞。
从上面我们可以看到,WebMail的安全问题不容乐观,如果要较好地解决它,一方面要增强WebMail系统的安全性,另一方面则依赖于用户对WebMail的正确使用,这些在上面都有讨论,在此就不赘述。如果用户在正确使用WebMail后仍然存在安全问题,那么剩下的,就是去选择一个好的邮件服务商,或者通过邮件客户端软件来收发邮件,不过,使用outlook等邮件客户端软件又会引发其它的安全问题,例如爱虫、求职信等病毒就是利用outlook的漏洞来扩散传播和危害用户的。
猜你喜欢
- 北京时间10月29日消息,据国外媒体报道,社交网站Facebook平台主管伊森比尔德(Ethan Beard)周三在官方博客网站撰文,描绘了
- 在这篇文章中,我将向你们介绍各种Exchange Server(ExchangeServer是微软公司开发的邮件服务程序)组件所使用的通信端
- 如果要设置新建网站默认.NET版本,就在这里修改在确保你已经安装两个以上的.NET版本后如果看到ASP.NET选项卡的ASP.NET版本为灰
- 3月2日消息,网易昨日开始对网站部业务进行调整,除了原网易执行副总编方三文离职外,网易还调整了其他人事分工和新业务架构。根据内部人士透露,原
- 恶意链接(Link Spamming):也称“作弊链接技术”)指为提高网站在google排名搜索引擎
- 前段时间自己的一个网站进沙盒了,心里很是着急,现在这个网站终于走出google的沙盒了,现在和大家分享下 ,其实对待网站进沙盒如何让网站尽快
- 搜索引擎会对恶意进行SEO的网站进行惩罚,如清除所有链接。百度对作弊的判断条件:(1)在网页源代码的任意位置,故意加入与网页内容不相关的关键
- 声明:本人从一个对电脑什么都不懂的菜鸟,到今天从事IT工作的从业人员,除参加基本培训班学习基本的东西之外,其它基本上都是自学,写此文章的目的
- 说到百度贴吧推广中国亚龙是最熟悉不过了,07年有两个月专职做这个,虽然现在没有以前在百度帖吧推广那么疯狂,但到现在也从未间断过。现在就和大家
- 对于我们靠网络赚钱的人来说,学一些软文写作的知识,是非常必要的。因为做网赚必须要了解网络广告,软文是网络广告非常重要的组成部分。什么是软文:
- 雅虎大刀阔斧的改革还在继续。雅虎对外宣称,将在美国东部时间10月26日关闭在该公司旗下的GeoCities网络托管服务。这也标志着个人主页时
- 11月12日,有网友在TechWeb论坛反映称,人民网即将推出微博客产品,TechWeb随即登录人民网,在该网站无线频段推出的微博客专题页面
- 作为Comsenz旗下的社区产品SupeSite 7.0 全面支持对 Discuz!、UCenter Home 的聚合功能。对于那些已经安装
- 中国电信最近对于Google若干服务(Google工具栏、Google拼音、Google Picasa等)的屏蔽是一个很特别的屏蔽,因为这些
- Godaddy主机用户怎样编辑新增的FTP用户呢?其实很简单的,你可以轻松地为Godaddy-Linux共享托管帐户或者运行IIS7的God
- “创业”这是我们讲得最多的一个话题,网络创业的故事也被我们津津乐道;只要留心观察下,就不难发现这样一个有趣的现象——很多网络创业的朋友会选择
- Google日前推出了网站趋势(Google Trends For Websites)服务。这一新工具使用户能看到所有 网站的流量数据,并将
- IIS团队已经发布了1.0的Windows缓存PHP的扩展测试。 Windows缓存扩展为PHP提供的一个PHP的加速器 ,用于提高PHP应
- 2007年末和一个朋友创建一个小说站,可谓是困难重重,处处碰壁。经过总结和分析,这并非是我一个人所遇到的问题,而是中国草根站长界普遍的问题。
- 在论坛上发布原创帖子,然后根据帖子的顶帖量进行计算,最高者能以3折价格购买价值60万元的产权房。近日,上海一网站推出一项&ldquo