Webmail攻防實戰(zhàn)(2)

Internet上客戶端與服務(wù)端的交互，基本上都是通過在客戶端以提交表單的形式交由服務(wù)端程序（如CGI、ASP等）處理來實現(xiàn)的，WebMail的密碼驗證即如此，用戶在瀏覽器的表單元素里輸入帳戶名、密碼等信息并提交以后，服務(wù)端對其進(jìn)行驗證，如果正確的話，則歡迎用戶進(jìn)入自己的WebMail頁面，否則，返回一個出錯頁面給客戶端。

籍此，攻擊者借助一些黑客工具，不斷的用不同的密碼嘗試登錄，通過比較返回頁面的異同，從而判斷出郵箱密碼是否破解成功。幫助攻擊者完成此類暴力破解的工具有不少，如wwwhack、小榕的溯雪等，尤以溯雪的功能最為強大，它本身已經(jīng)是一個功能完善的瀏覽器，通過分析和提取頁面中的表單，給相應(yīng)的表單元素掛上字典文件，再根據(jù)表單提交后返回的錯誤標(biāo)志判斷破解是否成功。

當(dāng)然我們也看到，溯雪之類的web探測器，可以探測到的不僅是WebMail的密碼，像論壇、聊天室之類所有通過表單進(jìn)行驗證登錄的帳戶密碼都是可以探測到的。

對于WebMail的暴力破解，許多WebMail系統(tǒng)都采取了相應(yīng)的防范措施。如果某帳戶在較短的時間內(nèi)有多次錯誤登錄，即認(rèn)為該帳戶受到了暴力破解，防范措施一般有如下三種：

1、禁用帳戶：把受到暴力破解的帳戶禁止一段時間登錄，一般是5至10分鐘，但是，如果攻擊者總是嘗試暴力破解，則該帳戶就一直處于禁用狀態(tài)不能登錄，導(dǎo)致真正的用戶不能訪問自己的郵箱，從而形成DOS攻擊。

2、禁止IP地址：把進(jìn)行暴力破解的IP地址禁止一段時間不能使用WebMail。這雖然在一定程度上解決了“禁用帳戶”帶來的問題，但更大的問題是，這勢必導(dǎo)致在網(wǎng)吧、公司、學(xué)校甚至一些城域網(wǎng)內(nèi)共用同一IP地址訪問internet的用戶不能使用該WebMail。如果攻擊者采用多個代理地址輪循攻擊，甚至采用分布式的破解攻擊，那么“禁止IP地址”就難以防范了。

3、登錄檢驗：這種防范措施一般與上面兩種防范措施結(jié)合起來使用，在禁止不能登錄的同時，返回給客戶端的頁面中包含一個隨機產(chǎn)生的檢驗字符串，只有用戶在相應(yīng)的輸入框里正確輸入了該字符串才能進(jìn)行登錄，這樣就能有效避免上面兩種防范措施帶來的負(fù)面影響。不過，攻擊者依然有可乘之機，通過開發(fā)出相應(yīng)的工具提取返回頁面中的檢驗字符串，再將此檢驗字符串做為表單元素值提交，那么又可以形成有效的WebMail暴力破解了。如果檢驗字符串是包含在圖片中，而圖片的文件名又隨機產(chǎn)生，那么攻擊者就很難開發(fā)出相應(yīng)的工具進(jìn)行暴力破解，在這一點上，yahoo電郵就是一個非常出色的例子。

雖然WebMail的暴力破解有諸多的防范措施，但它還是很難被完全避免，如果WebMail系統(tǒng)把一分鐘內(nèi)五次錯誤的登錄當(dāng)成是暴力破解，那么攻擊者就會在一分鐘內(nèi)只進(jìn)行四次登錄嘗試。所以，防范WebMail暴力破解還主要靠用戶自己采取良好的密碼策略，如密碼足夠復(fù)雜、不與其他密碼相同、密碼定期更改等，這樣，攻擊者很難暴力破解成功。

三、郵箱密碼恢復(fù)

難免會有用戶遺失郵箱密碼的情況，為了讓用戶能找回密碼繼續(xù)使用自己的郵箱，大多數(shù)WebMail系統(tǒng)都會向用戶提供郵箱密碼恢復(fù)機制，讓用戶回答一系列問題，如果答案都正確的話，就會讓用戶恢復(fù)自己郵箱的密碼。但是，如果密碼恢復(fù)機制不夠合理和安全，就會給攻擊者加以利用，輕松獲取他人郵箱密碼。下面是許多WebMail系統(tǒng)密碼恢復(fù)機制所采取的密碼恢復(fù)步驟，只有用戶對每步提出的問題回答正確的話才會進(jìn)入下一步，否則返回出錯頁面，針對每一步，攻擊者都有可乘之機：

第一步：輸入帳戶：在進(jìn)入密碼恢復(fù)頁面后首先提示用戶輸入要恢復(fù)密碼的郵箱帳戶。這一步對攻擊者而言自然不成問題，郵箱帳戶就是他要攻擊的目標(biāo)。

第二步：輸入生日：提示用戶按年月日輸入自己的生日。這一步對攻擊者而言也很輕松，年月日的排列組合很小，借助溯雪等工具很快就能窮舉破解出來，所以WebMail系統(tǒng)有必要在此采取暴力破解防范措施。并且每個用戶需要注意的是，攻擊者不一定來自地球的另一端，很可能就是你身邊的人，或許這些人更想知道你郵箱里有什么秘密，而他們要弄清你的生日往往是件輕而易舉的事情，你不是昨天才過了生日party嗎？你不是剛剛把身份證復(fù)印件交給人事部嗎？所以，為了郵箱安全，用戶是不是要把真實的生日做為郵箱注冊信息，WebMail系統(tǒng)是不是一定要用戶輸入真實的生日做為注冊信息，這還有待考慮。

第三步：問題回答：提示用戶回答自己設(shè)定的問題，答案也是用戶自己設(shè)定的答案。在這一步，攻擊者往往只有靠猜測，不幸的是，很多用戶的問題和答案是如此的簡單，以致于攻擊者能輕易的猜測出來，例如提出的問題只是知識性的問題、提出的問題和答案相同等。攻擊者對用戶越熟悉，成功的可能性就越大，例如有用戶問“你男朋友是哪里人”，殊不知，攻擊者正是她的男朋友。所以，用戶把問題設(shè)置成唯有自己知道的答案至關(guān)重要，這樣攻擊者才很難得逞，不過不要忘了答案，否則就得不償失了。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]