隨著郵件系統(tǒng)的廣泛使用，越來越多的企業(yè)喜歡將Email系統(tǒng)與Web服務(wù)器結(jié)合起來使用。如會(huì)向用戶發(fā)送帶有Web連接的郵件，向用戶推廣自己的網(wǎng)站。筆者以前的一家客戶就在采取這樣的操作。他們?yōu)榱伺浜蠌V告宣傳，在自己的網(wǎng)站上做了一個(gè)市場有獎(jiǎng)?wù){(diào)研活動(dòng)。他們通過郵件的形式，將這個(gè)活動(dòng)的信息發(fā)給客戶。客戶只要通過點(diǎn)擊郵件中的鏈接（如被設(shè)計(jì)成一個(gè)按鈕），就可以直接打開企業(yè)的網(wǎng)站參加活動(dòng)。這個(gè)看起來很簡單的需求，其實(shí)隱藏著比較大的安全隱患。一不小心，企業(yè)的這種行為，就會(huì)成為替罪羊。

一、安全隱患舉例

當(dāng)用戶接收到帶有鏈接的郵件時(shí)，一般都會(huì)比較小心。如果郵件的發(fā)送者是陌生人的話，可能不怎么會(huì)去點(diǎn)。即使沒有意識到可能有安全陷阱，也會(huì)認(rèn)為這是一封垃圾郵件，而將其刪除。但是，如果這個(gè)郵件是認(rèn)識的人發(fā)過來的，如是自己的客戶或者供應(yīng)商，那么情況就另當(dāng)別論了。用戶往往會(huì)去點(diǎn)擊，以查看是否有重要的信息。

此時(shí)用戶一點(diǎn)擊這個(gè)鏈接，災(zāi)難就可能降臨了。如果這個(gè)用戶的安全意識比較強(qiáng)，在客戶端上安裝了防火墻或者殺毒軟件并已經(jīng)升級到了最新版本，那么系統(tǒng)就會(huì)提示你打開的Web網(wǎng)頁可能有木馬。如果沒有安裝，那么在打開網(wǎng)頁的同時(shí)，木馬、病毒等也會(huì)悄無聲息的在用戶的后臺運(yùn)行。

此時(shí)用戶就可能會(huì)打電話給合作伙伴投訴。其實(shí)此時(shí)這個(gè)合作伙伴也可能還蒙在鼓里。這個(gè)活動(dòng)確實(shí)是有的，但是他們當(dāng)然不會(huì)自己砸自己的招牌，在自己的網(wǎng)站中掛載木馬或者病毒，來引起客戶或者供應(yīng)商的不滿。

二、安全隱患分析

其實(shí)這是一種比較典型的通過Web與郵件結(jié)合使用來傳播木馬與病毒的一種手段。此時(shí)網(wǎng)頁還是原來的網(wǎng)頁，有家還是原來的郵件。只是攻擊者在這里加入了一點(diǎn)“調(diào)料”。如下圖所示：　

在用戶的郵件中有一個(gè)按鈕。只要用戶點(diǎn)擊這個(gè)按鈕，就可以打開企業(yè)的Web網(wǎng)站。其實(shí)這個(gè)按鈕就是一個(gè)網(wǎng)絡(luò)連接?，F(xiàn)在攻擊者點(diǎn)擊這個(gè)鏈接后，其實(shí)第一次打開的并不是企業(yè)的網(wǎng)頁，而是其偽造的一個(gè)網(wǎng)頁。同時(shí)在這個(gè)網(wǎng)頁代碼中，會(huì)再去打開企業(yè)搞活動(dòng)的網(wǎng)頁，而將自己偽造的網(wǎng)頁隱藏起來。注意，在這個(gè)過程中，偽造的網(wǎng)頁就會(huì)像用戶的主機(jī)中下載各種各樣的木馬與病毒。從安全的角度講，這封郵件本身是沒有病毒的。所以不會(huì)被企業(yè)的防火墻攔截。只有當(dāng)用戶點(diǎn)擊郵件中的鏈接，從偽造的網(wǎng)頁中下載木馬時(shí)，防火墻才能夠發(fā)覺并提醒用戶。在這種情況下，用戶就覺得是企業(yè)的網(wǎng)頁在作怪。其實(shí)這是一個(gè)天大的冤枉。大部分情況是因?yàn)猷]件中的URL鏈接被篡改所導(dǎo)致的。

另外一種可能就是攻擊者直接在企業(yè)的網(wǎng)站上開刀。如攻擊者通過各種攻擊手段獲得網(wǎng)站的管理員權(quán)限之后，就可以在企業(yè)的Web頁面中添加惡意代碼。如從其他網(wǎng)站上下載木馬或者直接使一個(gè)木馬代碼。當(dāng)用戶通過鏈接打開這個(gè)活動(dòng)業(yè)面時(shí)就會(huì)中招。此時(shí)就會(huì)辜負(fù)其他用戶對企業(yè)的信任，從而成為了一只無辜的替罪羊。

三、安全隱患的防護(hù)

這種Email與Web系統(tǒng)結(jié)合使用而導(dǎo)致的安全隱患，防護(hù)起來具有一定難度。主要是因?yàn)榘踩藛T很難通過自查的方式來發(fā)現(xiàn)這個(gè)安全隱患。從以上的分析中可以看出，其攻擊點(diǎn)只要有兩個(gè)。一是郵件中的URL鏈接，另外一個(gè)就是企業(yè)的Web網(wǎng)頁。只要其中有一個(gè)被攻擊了，就會(huì)造成上面所分析的后果。既然這存在這么大的安全隱患，那么企業(yè)能否放棄這種方式呢？其實(shí)這也不現(xiàn)實(shí)。因?yàn)楦鶕?jù)企業(yè)的反饋來看，通過這種形式來推廣企業(yè)的品牌形象是一個(gè)非常有效的方法。不僅成本便宜，而且比價(jià)具有針對性。這就給安全人員一個(gè)新的挑戰(zhàn)，如何來解決這個(gè)安全問題呢?對此筆者有如下幾個(gè)安全建議。

一是不要使用按鈕，而直接使用鏈接。如果使用按鈕，那么即使攻擊者更改了URL鏈接，管理員也很難發(fā)掘這個(gè)中更改的行為。如故直接使用URL鏈接地址，而不是按鈕，那么這種情況就可能有所改觀。如用戶在發(fā)送郵件的時(shí)候，也同時(shí)發(fā)送給自己。查看自己收到的URL鏈接，可以初步判斷這個(gè)鏈接有沒有被更改過。這是一個(gè)比較初級的方法，但是也是一個(gè)行之有效的手段。

二是需要追蹤。這種攻擊有一個(gè)顯著的特點(diǎn)，就是攻擊的直接受害者并不是企業(yè)自己，而是信賴企業(yè)的合作伙伴，包括供應(yīng)商、客戶等合作伙伴。當(dāng)其他用戶發(fā)現(xiàn)這個(gè)網(wǎng)站有問題時(shí)，企業(yè)的Web管理員很有可能還一無所知。由于Web管理員后之后決，就導(dǎo)致了受害用戶的增加。筆者建議，對有這些具有推廣Web網(wǎng)站性質(zhì)的郵件，安全管理人員應(yīng)該給與特殊的關(guān)注，如需要加強(qiáng)后續(xù)的追蹤。其實(shí)這個(gè)追逐也比較簡單，只需要管理員在后續(xù)的工作中，自己去點(diǎn)擊一下，看看有沒有問題。當(dāng)然前提是客戶端安裝了殺毒軟件并已經(jīng)將其升級至最新版本的情況下。

三是完善網(wǎng)頁代碼的編寫。以上這種攻擊，又被稱之為XSS攻擊。XSS攻擊其主要采用的是頁面文件編寫不完善所造成的。為此一般很難通過現(xiàn)有的安全產(chǎn)品（如防火墻等等）來解決。其最直接的方式就是對企業(yè)現(xiàn)有的Web頁面文件進(jìn)行完善。筆者這里建議，在編寫Web頁面文間時(shí)，最好采用多層式的編碼結(jié)構(gòu)。這可以在很大程度上完善頁面文件，以提到防范XSS攻擊的目的。筆者再強(qiáng)調(diào)一下，針對這種攻擊，通常情況下的安全防護(hù)工具并不能夠起到很大的效果。

四是需要仔細(xì)分析日志。從企業(yè)的網(wǎng)站日志中，一般會(huì)詳細(xì)記錄訪問的相關(guān)信息。如用戶的訪問地址等等。在上面的攻擊原理中，我們會(huì)發(fā)現(xiàn)，當(dāng)超鏈接被更改后，攻擊者會(huì)利用一個(gè)假冒的網(wǎng)頁去打開目標(biāo)網(wǎng)頁?，F(xiàn)在如果通過日志發(fā)現(xiàn)，很多訪問者都是來自相同的地址（仿冒的訪問者），那么就可以判斷這些訪問存在著異常的情況。此時(shí)Web安全人員就需要仔細(xì)核對相關(guān)的內(nèi)容，判斷是哪里存在問題。

五是選擇一跨好的網(wǎng)頁開發(fā)工具。上面筆者談到過，發(fā)生這種工具很多情況下是由于Web頁面自身的漏洞所造成的。對于一個(gè)比較復(fù)雜的網(wǎng)頁，要通過手工檢查來發(fā)現(xiàn)這些漏洞，具有一定的難度。其實(shí)在選擇網(wǎng)頁開發(fā)工具時(shí)，我們可以有意識的選擇一些安全性比較高的開發(fā)平臺。如VS2010等等。這些平臺往往會(huì)帶有一些安全自檢工具。通過這些工具，可以發(fā)現(xiàn)網(wǎng)頁頁面中存在的已知漏洞。在發(fā)布之前就做好相關(guān)的安全自檢工具，就能夠?qū)⑦@種攻擊檔在門外。

其實(shí)上面的這些安全措施主要體現(xiàn)了兩個(gè)原理。一是攘外必先安內(nèi)。要避免外部的工具，就需要先保障自身的安全。俗話說，蒼蠅不叮無縫的雞蛋。如果頁面文間本身不存在安全問題，這種攻擊也只能夠望洋興嘆了。二是要最后追蹤與分析工作。任何攻擊都有跡象可循。及早發(fā)現(xiàn)攻擊的跡象，并將其扼殺在萌芽狀態(tài)，可以減少受影響的用戶。亡羊補(bǔ)牢，為時(shí)未晚。

【編輯推薦】

1. WebMail應(yīng)用之安全隱患及對策
2. 郵件安全隱患及其防范技術(shù)研究