Webmail可以使用戶通過web的方式來收發(fā)郵件而不通過客戶端，這種方便快捷的方式被廣大用戶所接受。但是眾所周知，郵件作為企業(yè)安全的一個重大的隱患，本身公司的數(shù)據(jù)泄露就有可能通過郵件的方式出現(xiàn)，那么攻擊Webmail的情況會不會出現(xiàn)呢？Webmail會不會成為一種新的數(shù)據(jù)泄露途徑呢？

一、攻擊Webmail方法之郵件地址欺騙

郵件地址欺騙是非常簡單和容易的，攻擊者針對用戶的電子郵件地址，取一個相似的電子郵件名，在WebMail的郵箱配置中將“發(fā)件人姓名”配置成與用戶一樣的發(fā)件人姓名（有些WebMail系統(tǒng)沒有提供此功能），然后冒充該用戶發(fā)送電子郵件，在他人收到郵件時，往往不會從郵件地址、郵件信息頭等上面做仔細(xì)檢查，從發(fā)件人姓名、郵件內(nèi)容等上面又看不出異樣，誤以為真，攻擊者從而達(dá)到欺騙的目的。例如某用戶的電子郵件名是wolfe，攻擊者就會取w0lfe、wo1fe、wolfee、woolfe之類相似的電子郵件名來進(jìn)行欺騙。雖然免費(fèi)的午餐越來越難吃，但還是有很多用戶使用的是免費(fèi)電子郵箱，通過注冊申請，攻擊者很容易得到相似的電子郵件地址。

人們通常以為電子郵件的回復(fù)地址就是它的發(fā)件人地址，其實(shí)不然，在RFC 822中明確定義了發(fā)件人地址和回復(fù)地址可以不一樣，熟悉電子郵件客戶端使用的用戶也會明白這一點(diǎn)，在配置帳戶屬性或撰寫郵件時，可以指定與發(fā)件人地址不同的回復(fù)地址。由于用戶在收到某個郵件時，雖然會檢查發(fā)件人地址是否真實(shí)，但在回復(fù)時，并不會對回復(fù)地址做出仔細(xì)的檢查，所以，如果配合smtp欺騙使用，發(fā)件人地址是要攻擊的用戶的電子郵件地址，回復(fù)地址則是攻擊者自已的電子郵件地址，那么這樣就會具有更大的欺騙性，誘騙他人將郵件發(fā)送到攻擊者的電子郵箱中。

所謂害人之心不可有，防人之心不可無，鑒于郵件地址欺騙的易于實(shí)現(xiàn)和危險(xiǎn)性，我們不得不時時提防，以免上當(dāng)受騙。對于WebMail系統(tǒng)而言，提供郵件信息頭內(nèi)容檢查、smtp認(rèn)證（如果該郵件系統(tǒng)支持smtp的話）等服務(wù)技術(shù)，將郵件地址欺騙帶來的危害降至最小是非常有必要的。對郵件用戶而言，認(rèn)真檢查郵件的發(fā)件人郵件地址、發(fā)件人IP地址、回復(fù)地址等郵件信息頭內(nèi)容是很重要的。

二、攻擊Webmail方法之WebMail暴力破解

Internet上客戶端與服務(wù)端的交互，基本上都是通過在客戶端以提交表單的形式交由服務(wù)端程序（如CGI、ASP等）處理來實(shí)現(xiàn)的，WebMail的密碼驗(yàn)證即如此，用戶在瀏覽器的表單元素里輸入帳戶名、密碼等信息并提交以后，服務(wù)端對其進(jìn)行驗(yàn)證，如果正確的話，則歡迎用戶進(jìn)入自己的WebMail頁面，否則，返回一個出錯頁面給客戶端。

籍此，攻擊者借助一些黑客工具，不斷的用不同的密碼嘗試登錄，通過比較返回頁面的異同，從而判斷出郵箱密碼是否破解成功。幫助攻擊者完成此類暴力破解的工具有不少，如wwwhack、小榕的溯雪等，尤以溯雪的功能最為強(qiáng)大，它本身已經(jīng)是一個功能完善的瀏覽器，通過分析和提取頁面中的表單，給相應(yīng)的表單元素掛上字典文件，再根據(jù)表單提交后返回的錯誤標(biāo)志判斷破解是否成功。

當(dāng)然我們也看到，溯雪之類的web探測器，可以探測到的不僅是WebMail的密碼，像論壇、聊天室之類所有通過表單進(jìn)行驗(yàn)證登錄的帳戶密碼都是可以探測到的。

對于WebMail的暴力破解，許多WebMail系統(tǒng)都采取了相應(yīng)的防范措施。如果某帳戶在較短的時間內(nèi)有多次錯誤登錄，即認(rèn)為該帳戶受到了暴力破解，防范措施一般有如下三種：

1、禁用帳戶：把受到暴力破解的帳戶禁止一段時間登錄，一般是5至10分鐘，但是，如果攻擊者總是嘗試暴力破解，則該帳戶就一直處于禁用狀態(tài)不能登錄，導(dǎo)致真正的用戶不能訪問自己的郵箱，從而形成DOS攻擊。

2、禁止IP地址：把進(jìn)行暴力破解的IP地址禁止一段時間不能使用WebMail。這雖然在一定程度上解決了“禁用帳戶”帶來的問題，但更大的問題是，這勢必導(dǎo)致在網(wǎng)吧、公司、學(xué)校甚至一些城域網(wǎng)內(nèi)共用同一IP地址訪問internet的用戶不能使用該WebMail。如果攻擊者采用多個代理地址輪循攻擊，甚至采用分布式的破解攻擊，那么“禁止IP地址”就難以防范了。

3、登錄檢驗(yàn)：這種防范措施一般與上面兩種防范措施結(jié)合起來使用，在禁止不能登錄的同時，返回給客戶端的頁面中包含一個隨機(jī)產(chǎn)生的檢驗(yàn)字符串，只有用戶在相應(yīng)的輸入框里正確輸入了該字符串才能進(jìn)行登錄，這樣就能有效避免上面兩種防范措施帶來的負(fù)面影響。不過，攻擊者依然有可乘之機(jī)，通過開發(fā)出相應(yīng)的工具提取返回頁面中的檢驗(yàn)字符串，再將此檢驗(yàn)字符串做為表單元素值提交，那么又可以形成有效的WebMail暴力破解了。如果檢驗(yàn)字符串是包含在圖片中，而圖片的文件名又隨機(jī)產(chǎn)生，那么攻擊者就很難開發(fā)出相應(yīng)的工具進(jìn)行暴力破解，在這一點(diǎn)上，yahoo電郵就是一個非常出色的例子。

雖然WebMail的暴力破解有諸多的防范措施，但它還是很難被完全避免，如果WebMail系統(tǒng)把一分鐘內(nèi)五次錯誤的登錄當(dāng)成是暴力破解，那么攻擊者就會在一分鐘內(nèi)只進(jìn)行四次登錄嘗試。所以，防范WebMail暴力破解還主要靠用戶自己采取良好的密碼策略，如密碼足夠復(fù)雜、不與其他密碼相同、密碼定期更改等，這樣，攻擊者很難暴力破解成功。#p#

三、攻擊Webmail方法之郵箱密碼恢復(fù)

難免會有用戶遺失郵箱密碼的情況，為了讓用戶能找回密碼繼續(xù)使用自己的郵箱，大多數(shù)WebMail系統(tǒng)都會向用戶提供郵箱密碼恢復(fù)機(jī)制，讓用戶回答一系列問題，如果答案都正確的話，就會讓用戶恢復(fù)自己郵箱的密碼。但是，如果密碼恢復(fù)機(jī)制不夠合理和安全，就會給攻擊者加以利用，輕松獲取他人郵箱密碼。 下面是許多WebMail系統(tǒng)密碼恢復(fù)機(jī)制所采取的密碼恢復(fù)步驟，只有用戶對每步提出的問題回答正確的話才會進(jìn)入下一步，否則返回出錯頁面，針對每一步，攻擊者都有可乘之機(jī)：

第一步：輸入帳戶：在進(jìn)入密碼恢復(fù)頁面后首先提示用戶輸入要恢復(fù)密碼的郵箱帳戶。這一步對攻擊者而言自然不成問題，郵箱帳戶就是他要攻擊的目標(biāo)。

第二步：輸入生日：提示用戶按年月日輸入自己的生日。這一步對攻擊者而言也很輕松，年月日的排列組合很小，借助溯雪等工具很快就能窮舉破解出來，所以WebMail系統(tǒng)有必要在此采取暴力破解防范措施。并且每個用戶需要注意的是，攻擊者不一定來自地球的另一端，很可能就是你身邊的人，或許這些人更想知道你郵箱里有什么秘密，而他們要弄清你的生日往往是件輕而易舉的事情，你不是昨天才過了生日party嗎？你不是剛剛把身份證復(fù)印件交給人事部嗎？所以，為了郵箱安全，用戶是不是要把真實(shí)的生日做為郵箱注冊信息，WebMail系統(tǒng)是不是一定要用戶輸入真實(shí)的生日做為注冊信息，這還有待考慮。

第三步：問題回答：提示用戶回答自己設(shè)定的問題，答案也是用戶自己設(shè)定的答案。在這一步，攻擊者往往只有靠猜測，不幸的是，很多用戶的問題和答案是如此的簡單，以致于攻擊者能輕易的猜測出來，例如提出的問題只是知識性的問題、提出的問題和答案相同等。攻擊者對用戶越熟悉，成功的可能性就越大，例如有用戶問“你男朋友是哪里人”，殊不知，攻擊者正是她的男朋友。所以，用戶把問題設(shè)置成唯有自己知道的答案至關(guān)重要，這樣攻擊者才很難得逞，不過不要忘了答案，否則就得不償失了。

在用戶正確完成以上各步驟以后，WebMail系統(tǒng)就會讓用戶恢復(fù)自己郵箱帳戶的密碼。密碼恢復(fù)的方式又各有不同，一般有如下幾種方式，安全程度各有不同：

1、頁面返回：返回的頁面里顯示用戶的郵箱密碼。這樣故然方便省事，但是如果讓攻擊者得到密碼，則能在絲毫不驚動用戶的情況下使用用戶的郵箱，使得攻擊者能長期監(jiān)視用戶的郵箱使用情況，給用戶帶來更大的安全隱患。

2、郵件發(fā)送：將密碼發(fā)送到用戶注冊時登記的另一個郵箱里。對于攻擊者來說，忙了半天，仍然是一無所獲，除非繼續(xù)去攻擊另一個郵箱；對于用戶來說，在另一個郵箱里收到發(fā)來的密碼則是一個警告，說明有攻擊者猜測到了他的郵箱密碼提示問題，迫使用戶盡快改變自己的密碼提示問題。

不過，如果用戶注冊時登記的不是一個正確的郵箱，或者該郵箱已經(jīng)失效，那么，這樣不僅是攻擊者，就是用戶本人也永遠(yuǎn)得不到密碼了。有些WebMail系統(tǒng)在注冊時要求用戶登記正確的郵件地址，并把郵箱開通的驗(yàn)證信息發(fā)往該郵件地址，不過這樣仍然不能避免用戶在郵箱失效后不能恢復(fù)自己郵箱密碼的情況發(fā)生。

3、密碼重設(shè)：讓用戶重新設(shè)置一個密碼。這種方式相比“頁面返回”方式，在攻擊者重設(shè)密碼后，用戶因?yàn)椴荒苷５卿涍M(jìn)自己的郵箱而能察覺出受到攻擊，安全性相對好一些；但是相比“郵件發(fā)送”方式，因?yàn)楣粽吣芰⒓葱薷泥]箱密碼，少了一層保障，安全性又差一些。

由“頁面返回”或“郵件發(fā)送”回來的密碼可以明顯看出，該電子郵件系統(tǒng)是把郵箱帳戶的密碼未經(jīng)加密直接以明文保存在數(shù)據(jù)庫或LDAP服務(wù)器中。這樣就造成很大的安全隱患，WebMail系統(tǒng)管理員或侵入數(shù)據(jù)庫的攻擊者能輕易獲取用戶的郵箱密碼，用戶卻完全不知情，所以為了加大保密性，有必要將郵箱密碼加密后再以密文存入數(shù)據(jù)庫，最好用不可逆的單向加密算法，如md5等。

郵箱密碼恢復(fù)機(jī)制是否安全，主要還是看WebMail系統(tǒng)提出什么樣的問題、采取什么樣的問答方式，例如將多個密碼恢復(fù)步驟中提出的問題放在一步中一起提出，就會相應(yīng)地增加攻擊者的難度從而提高安全性，像搜狐郵件、新浪郵件和yahoo電郵等都是一些令人失望的例子。

四、攻擊Webmail方法之惡性HTML郵件

電子郵件有兩種格式：純文本（txt）和超文本（html）.Htm

【編輯推薦】

1. WebMail應(yīng)用之安全隱患及對策
2. IMHO Webmail遠(yuǎn)程帳戶劫持漏洞
3. OMail Webmail遠(yuǎn)程命令執(zhí)行漏洞
4. NullLogic Null Webmail遠(yuǎn)程格式串漏洞
5. Open WebMail用戶名遠(yuǎn)程信息泄露漏洞