Webmail攻防实战(8)

浏览器的漏洞和恶意脚本程式导致了cookie信息的泄漏，和cookie信息泄漏不同，URL会话信息被泄漏，则是完全出在HTTP协议上，除非修改HTTP协议。虽然RFC2616里指出referer域是敏感信息（SensitiveInformation），建议浏览器提供友好界面让用户能够允许或禁用传输敏感信息域，但是现在尚未有哪一家浏览器提供了这样的功能界面。

可见，无论是cookie会话跟踪还是URL会话跟踪，都存在着不少的安全问题，所以WebMail系统有必要采取措施加强会话安全：

(1)灵活使用会话跟踪技术：客户端支持cookie时，使用相对比较安全的临时型cookie会话跟踪机制，否则，使用URL会话跟踪，JSP等研发程式能很容易做到这一点。

(2)结合多种会话跟踪技术：同时结合cookie、URL会话跟踪技术进行会话跟踪，大大增加攻击者难度。

(3)跟客户端IP地址相结合：21cn.com、qmail的sqWebMail等WebMail系统，就是把当前会话和客户端IP地址结合在一起来加强安全的。

(4)合理配置会话超时时间：在一定时间内客户端没有连接请求则认为会话超时（timeout）。太短了，给用户带来不便；太长了，给攻击者带来方便。

七、WebMail其他安全

假如用户在WebMail里配置了自动回复，攻击者利用这一点，在另一个邮箱里也配置自动回复，并发一封邮件给用户，那么邮件很快就会塞满用户的邮箱，迫使用户不得不取消自动回复，所以，良好的自动回复策略应该是在一定时间内来自同一邮件地址的第二封邮件不应该被自动回复。

攻击者还会在邮件附件中夹带病毒、木马等恶性程式来攻击用户的电脑，甚至用来窃取WebMail密码，所以，对于不明邮件，用户不要奢望那是攻瑰和情书，在对附件进行病毒查杀之前，不要轻易打开他的附件。

为了防止垃圾邮件，WebMail系统应有良好的反垃圾邮件功能，一是系统级的垃圾邮件过滤，对一些被投诉和列入反垃圾邮件组织黑名单的邮件地址进行过滤，二是用户级的垃圾邮件过滤，使WebMail用户能够定制自己的邮件过滤规则，拒绝不受欢迎的邮件，免受垃圾邮件的困扰。

使用一些嗅探监听程式，攻击者甚至无需很高深的专业知识，就能很轻易地嗅探监听到用户WebMail的密码、邮件内容等。有一个叫“密码监听器”的黑客程式，几乎能监听到国内任何免费邮箱的密码。所以，WebMail系统有必要支持SSI，对浏览器和服务器之间传输的数据进行加密，防止被嗅探监听。

一些WebMail系统支持数字签名和数字加密，在WebMail内能够导入基于公钥加密机制（如CA认证中央颁发的数字证书）产生的公私密钥对，能有效地确保邮件的保密性、完整性和不可抵赖性，但是，鉴于WebMail在其他方面的安全问题，一旦攻击者侵入用户的WebMail，用户反而得不偿失，甚至会导致私钥的泄漏。

WebMail系统程式上的漏洞也值得关注，如IMHOWebMail远程帐户劫持漏洞、BasiliXWebMail远程任意文档泄露漏洞、W3MailWebMail执行任意命令漏洞等，甚至21cn.com都曾有过重要路径泄漏漏洞。

从上面我们能够看到，WebMail的安全问题不容乐观，假如要较好地解决他，一方面要增强WebMail系统的安全性，另一方面则依赖于用户对WebMail的正确使用，这些在上面都有讨论，在此就不赘述。假如用户在正确使用WebMail后仍然存在安全问题，那么剩下的，就是去选择一个好的邮件服务商，或通过邮件客户端软件来收发邮件，但是，使用outlook等邮件客户端软件又会引发其他的安全问题，例如爱虫、求职信等病毒就是利用outlook的漏洞来扩散传播和危害用户的。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有