Webmail可以使用戶通過(guò)web的方式來(lái)收發(fā)郵件而不通過(guò)客戶端，這種方便快捷的方式被廣大用戶所接受。但是眾所周知，郵件作為企業(yè)安全的一個(gè)重大的隱患，本身公司的數(shù)據(jù)泄露就有可能通過(guò)郵件的方式出現(xiàn)，那么攻擊Webmail的情況會(huì)不會(huì)出現(xiàn)呢？Webmail會(huì)不會(huì)成為一種新的數(shù)據(jù)泄露途徑呢？

一、攻擊Webmail方法之郵件地址欺騙

郵件地址欺騙是非常簡(jiǎn)單和容易的，攻擊者針對(duì)用戶的電子郵件地址，取一個(gè)相似的電子郵件名，在WebMail的郵箱配置中將“發(fā)件人姓名”配置成與用戶一樣的發(fā)件人姓名（有些WebMail系統(tǒng)沒(méi)有提供此功能），然后冒充該用戶發(fā)送電子郵件，在他人收到郵件時(shí)，往往不會(huì)從郵件地址、郵件信息頭等上面做仔細(xì)檢查，從發(fā)件人姓名、郵件內(nèi)容等上面又看不出異樣，誤以為真，攻擊者從而達(dá)到欺騙的目的。例如某用戶的電子郵件名是wolfe，攻擊者就會(huì)取w0lfe、wo1fe、wolfee、woolfe之類相似的電子郵件名來(lái)進(jìn)行欺騙。雖然免費(fèi)的午餐越來(lái)越難吃，但還是有很多用戶使用的是免費(fèi)電子郵箱，通過(guò)注冊(cè)申請(qǐng)，攻擊者很容易得到相似的電子郵件地址。

人們通常以為電子郵件的回復(fù)地址就是它的發(fā)件人地址，其實(shí)不然，在RFC 822中明確定義了發(fā)件人地址和回復(fù)地址可以不一樣，熟悉電子郵件客戶端使用的用戶也會(huì)明白這一點(diǎn)，在配置帳戶屬性或撰寫(xiě)郵件時(shí)，可以指定與發(fā)件人地址不同的回復(fù)地址。由于用戶在收到某個(gè)郵件時(shí)，雖然會(huì)檢查發(fā)件人地址是否真實(shí)，但在回復(fù)時(shí)，并不會(huì)對(duì)回復(fù)地址做出仔細(xì)的檢查，所以，如果配合smtp欺騙使用，發(fā)件人地址是要攻擊的用戶的電子郵件地址，回復(fù)地址則是攻擊者自已的電子郵件地址，那么這樣就會(huì)具有更大的欺騙性，誘騙他人將郵件發(fā)送到攻擊者的電子郵箱中。

所謂害人之心不可有，防人之心不可無(wú)，鑒于郵件地址欺騙的易于實(shí)現(xiàn)和危險(xiǎn)性，我們不得不時(shí)時(shí)提防，以免上當(dāng)受騙。對(duì)于WebMail系統(tǒng)而言，提供郵件信息頭內(nèi)容檢查、smtp認(rèn)證（如果該郵件系統(tǒng)支持smtp的話）等服務(wù)技術(shù)，將郵件地址欺騙帶來(lái)的危害降至最小是非常有必要的。對(duì)郵件用戶而言，認(rèn)真檢查郵件的發(fā)件人郵件地址、發(fā)件人IP地址、回復(fù)地址等郵件信息頭內(nèi)容是很重要的。

二、攻擊Webmail方法之WebMail暴力破解

Internet上客戶端與服務(wù)端的交互，基本上都是通過(guò)在客戶端以提交表單的形式交由服務(wù)端程序（如CGI、ASP等）處理來(lái)實(shí)現(xiàn)的，WebMail的密碼驗(yàn)證即如此，用戶在瀏覽器的表單元素里輸入帳戶名、密碼等信息并提交以后，服務(wù)端對(duì)其進(jìn)行驗(yàn)證，如果正確的話，則歡迎用戶進(jìn)入自己的WebMail頁(yè)面，否則，返回一個(gè)出錯(cuò)頁(yè)面給客戶端。

籍此，攻擊者借助一些黑客工具，不斷的用不同的密碼嘗試登錄，通過(guò)比較返回頁(yè)面的異同，從而判斷出郵箱密碼是否破解成功。幫助攻擊者完成此類暴力破解的工具有不少，如wwwhack、小榕的溯雪等，尤以溯雪的功能最為強(qiáng)大，它本身已經(jīng)是一個(gè)功能完善的瀏覽器，通過(guò)分析和提取頁(yè)面中的表單，給相應(yīng)的表單元素掛上字典文件，再根據(jù)表單提交后返回的錯(cuò)誤標(biāo)志判斷破解是否成功。

當(dāng)然我們也看到，溯雪之類的web探測(cè)器，可以探測(cè)到的不僅是WebMail的密碼，像論壇、聊天室之類所有通過(guò)表單進(jìn)行驗(yàn)證登錄的帳戶密碼都是可以探測(cè)到的。

對(duì)于WebMail的暴力破解，許多WebMail系統(tǒng)都采取了相應(yīng)的防范措施。如果某帳戶在較短的時(shí)間內(nèi)有多次錯(cuò)誤登錄，即認(rèn)為該帳戶受到了暴力破解，防范措施一般有如下三種：

1、禁用帳戶：把受到暴力破解的帳戶禁止一段時(shí)間登錄，一般是5至10分鐘，但是，如果攻擊者總是嘗試暴力破解，則該帳戶就一直處于禁用狀態(tài)不能登錄，導(dǎo)致真正的用戶不能訪問(wèn)自己的郵箱，從而形成DOS攻擊。

2、禁止IP地址：把進(jìn)行暴力破解的IP地址禁止一段時(shí)間不能使用WebMail。這雖然在一定程度上解決了“禁用帳戶”帶來(lái)的問(wèn)題，但更大的問(wèn)題是，這勢(shì)必導(dǎo)致在網(wǎng)吧、公司、學(xué)校甚至一些城域網(wǎng)內(nèi)共用同一IP地址訪問(wèn)internet的用戶不能使用該WebMail。如果攻擊者采用多個(gè)代理地址輪循攻擊，甚至采用分布式的破解攻擊，那么“禁止IP地址”就難以防范了。

3、登錄檢驗(yàn)：這種防范措施一般與上面兩種防范措施結(jié)合起來(lái)使用，在禁止不能登錄的同時(shí)，返回給客戶端的頁(yè)面中包含一個(gè)隨機(jī)產(chǎn)生的檢驗(yàn)字符串，只有用戶在相應(yīng)的輸入框里正確輸入了該字符串才能進(jìn)行登錄，這樣就能有效避免上面兩種防范措施帶來(lái)的負(fù)面影響。不過(guò)，攻擊者依然有可乘之機(jī)，通過(guò)開(kāi)發(fā)出相應(yīng)的工具提取返回頁(yè)面中的檢驗(yàn)字符串，再將此檢驗(yàn)字符串做為表單元素值提交，那么又可以形成有效的WebMail暴力破解了。如果檢驗(yàn)字符串是包含在圖片中，而圖片的文件名又隨機(jī)產(chǎn)生，那么攻擊者就很難開(kāi)發(fā)出相應(yīng)的工具進(jìn)行暴力破解，在這一點(diǎn)上，yahoo電郵就是一個(gè)非常出色的例子。

雖然WebMail的暴力破解有諸多的防范措施，但它還是很難被完全避免，如果WebMail系統(tǒng)把一分鐘內(nèi)五次錯(cuò)誤的登錄當(dāng)成是暴力破解，那么攻擊者就會(huì)在一分鐘內(nèi)只進(jìn)行四次登錄嘗試。所以，防范WebMail暴力破解還主要靠用戶自己采取良好的密碼策略，如密碼足夠復(fù)雜、不與其他密碼相同、密碼定期更改等，這樣，攻擊者很難暴力破解成功。#p#

三、攻擊Webmail方法之郵箱密碼恢復(fù)

難免會(huì)有用戶遺失郵箱密碼的情況，為了讓用戶能找回密碼繼續(xù)使用自己的郵箱，大多數(shù)WebMail系統(tǒng)都會(huì)向用戶提供郵箱密碼恢復(fù)機(jī)制，讓用戶回答一系列問(wèn)題，如果答案都正確的話，就會(huì)讓用戶恢復(fù)自己郵箱的密碼。但是，如果密碼恢復(fù)機(jī)制不夠合理和安全，就會(huì)給攻擊者加以利用，輕松獲取他人郵箱密碼。 下面是許多WebMail系統(tǒng)密碼恢復(fù)機(jī)制所采取的密碼恢復(fù)步驟，只有用戶對(duì)每步提出的問(wèn)題回答正確的話才會(huì)進(jìn)入下一步，否則返回出錯(cuò)頁(yè)面，針對(duì)每一步，攻擊者都有可乘之機(jī)：

第一步：輸入帳戶：在進(jìn)入密碼恢復(fù)頁(yè)面后首先提示用戶輸入要恢復(fù)密碼的郵箱帳戶。這一步對(duì)攻擊者而言自然不成問(wèn)題，郵箱帳戶就是他要攻擊的目標(biāo)。

第二步：輸入生日：提示用戶按年月日輸入自己的生日。這一步對(duì)攻擊者而言也很輕松，年月日的排列組合很小，借助溯雪等工具很快就能窮舉破解出來(lái)，所以WebMail系統(tǒng)有必要在此采取暴力破解防范措施。并且每個(gè)用戶需要注意的是，攻擊者不一定來(lái)自地球的另一端，很可能就是你身邊的人，或許這些人更想知道你郵箱里有什么秘密，而他們要弄清你的生日往往是件輕而易舉的事情，你不是昨天才過(guò)了生日party嗎？你不是剛剛把身份證復(fù)印件交給人事部嗎？所以，為了郵箱安全，用戶是不是要把真實(shí)的生日做為郵箱注冊(cè)信息，WebMail系統(tǒng)是不是一定要用戶輸入真實(shí)的生日做為注冊(cè)信息，這還有待考慮。

第三步：?jiǎn)栴}回答：提示用戶回答自己設(shè)定的問(wèn)題，答案也是用戶自己設(shè)定的答案。在這一步，攻擊者往往只有靠猜測(cè)，不幸的是，很多用戶的問(wèn)題和答案是如此的簡(jiǎn)單，以致于攻擊者能輕易的猜測(cè)出來(lái)，例如提出的問(wèn)題只是知識(shí)性的問(wèn)題、提出的問(wèn)題和答案相同等。攻擊者對(duì)用戶越熟悉，成功的可能性就越大，例如有用戶問(wèn)“你男朋友是哪里人”，殊不知，攻擊者正是她的男朋友。所以，用戶把問(wèn)題設(shè)置成唯有自己知道的答案至關(guān)重要，這樣攻擊者才很難得逞，不過(guò)不要忘了答案，否則就得不償失了。

在用戶正確完成以上各步驟以后，WebMail系統(tǒng)就會(huì)讓用戶恢復(fù)自己郵箱帳戶的密碼。密碼恢復(fù)的方式又各有不同，一般有如下幾種方式，安全程度各有不同：

1、頁(yè)面返回：返回的頁(yè)面里顯示用戶的郵箱密碼。這樣故然方便省事，但是如果讓攻擊者得到密碼，則能在絲毫不驚動(dòng)用戶的情況下使用用戶的郵箱，使得攻擊者能長(zhǎng)期監(jiān)視用戶的郵箱使用情況，給用戶帶來(lái)更大的安全隱患。

2、郵件發(fā)送：將密碼發(fā)送到用戶注冊(cè)時(shí)登記的另一個(gè)郵箱里。對(duì)于攻擊者來(lái)說(shuō)，忙了半天，仍然是一無(wú)所獲，除非繼續(xù)去攻擊另一個(gè)郵箱；對(duì)于用戶來(lái)說(shuō)，在另一個(gè)郵箱里收到發(fā)來(lái)的密碼則是一個(gè)警告，說(shuō)明有攻擊者猜測(cè)到了他的郵箱密碼提示問(wèn)題，迫使用戶盡快改變自己的密碼提示問(wèn)題。

不過(guò)，如果用戶注冊(cè)時(shí)登記的不是一個(gè)正確的郵箱，或者該郵箱已經(jīng)失效，那么，這樣不僅是攻擊者，就是用戶本人也永遠(yuǎn)得不到密碼了。有些WebMail系統(tǒng)在注冊(cè)時(shí)要求用戶登記正確的郵件地址，并把郵箱開(kāi)通的驗(yàn)證信息發(fā)往該郵件地址，不過(guò)這樣仍然不能避免用戶在郵箱失效后不能恢復(fù)自己郵箱密碼的情況發(fā)生。

3、密碼重設(shè)：讓用戶重新設(shè)置一個(gè)密碼。這種方式相比“頁(yè)面返回”方式，在攻擊者重設(shè)密碼后，用戶因?yàn)椴荒苷５卿涍M(jìn)自己的郵箱而能察覺(jué)出受到攻擊，安全性相對(duì)好一些；但是相比“郵件發(fā)送”方式，因?yàn)楣粽吣芰⒓葱薷泥]箱密碼，少了一層保障，安全性又差一些。

由“頁(yè)面返回”或“郵件發(fā)送”回來(lái)的密碼可以明顯看出，該電子郵件系統(tǒng)是把郵箱帳戶的密碼未經(jīng)加密直接以明文保存在數(shù)據(jù)庫(kù)或LDAP服務(wù)器中。這樣就造成很大的安全隱患，WebMail系統(tǒng)管理員或侵入數(shù)據(jù)庫(kù)的攻擊者能輕易獲取用戶的郵箱密碼，用戶卻完全不知情，所以為了加大保密性，有必要將郵箱密碼加密后再以密文存入數(shù)據(jù)庫(kù)，最好用不可逆的單向加密算法，如md5等。

郵箱密碼恢復(fù)機(jī)制是否安全，主要還是看WebMail系統(tǒng)提出什么樣的問(wèn)題、采取什么樣的問(wèn)答方式，例如將多個(gè)密碼恢復(fù)步驟中提出的問(wèn)題放在一步中一起提出，就會(huì)相應(yīng)地增加攻擊者的難度從而提高安全性，像搜狐郵件、新浪郵件和yahoo電郵等都是一些令人失望的例子。

四、攻擊Webmail方法之惡性HTML郵件

電子郵件有兩種格式：純文本（txt）和超文本（html）.Htm

【編輯推薦】

1. WebMail應(yīng)用之安全隱患及對(duì)策
2. IMHO Webmail遠(yuǎn)程帳戶劫持漏洞
3. OMail Webmail遠(yuǎn)程命令執(zhí)行漏洞
4. NullLogic Null Webmail遠(yuǎn)程格式串漏洞
5. Open WebMail用戶名遠(yuǎn)程信息泄露漏洞