首页 > 系统 > 关键词  > 攻防最新资讯  > 正文

Webmail攻防实战(8)

2007-11-12 13:50 · 稿源:云南设计港

浏览器的漏洞和恶意脚本程序导致了cookie信息的泄漏,与cookie信息泄漏不同,URL会话信息被泄漏,则是完全出在HTTP协议上,除非修改HTTP协议。虽然RFC2616里指出referer域是敏感信息(SensitiveInformation),建议浏览器提供友好界面让用户能够允许或禁用传输敏感信息域,不过目前尚未有哪一家浏览器提供了这样的功能界面。

可见,无论是cookie会话跟踪还是URL会话跟踪,都存在着不少的安全问题,所以WebMail系统有必要采取措施加强会话安全:

(1)灵活使用会话跟踪技术:客户端支持cookie时,使用相对比较安全的临时型cookie会话跟踪机制,否则,使用URL会话跟踪,JSP等开发程序能很容易做到这一点。

(2)结合多种会话跟踪技术:同时结合cookie、URL会话跟踪技术进行会话跟踪,大大增加攻击者难度。

(3)跟客户端IP地址相结合:21cn.com、qmail的sqWebMail等WebMail系统,就是把当前会话与客户端IP地址结合在一起来加强安全的。

(4)合理设置会话超时时间:在一定时间内客户端没有连接请求则认为会话超时(timeout)。太短了,给用户带来不便;太长了,给攻击者带来方便。

七、WebMail其他安全

如果用户在WebMail里设置了自动回复,攻击者利用这一点,在另一个邮箱里也设置自动回复,并发一封邮件给用户,那么邮件很快就会塞满用户的邮箱,迫使用户不得不取消自动回复,所以,良好的自动回复策略应该是在一定时间内来自同一邮件地址的第二封邮件不应该被自动回复。

攻击者还会在邮件附件中夹带病毒、木马等恶性程序来攻击用户的电脑,甚至用来窃取WebMail密码,所以,对于不明邮件,用户不要奢望那是攻瑰和情书,在对附件进行病毒查杀之前,不要轻易打开它的附件。

为了防止垃圾邮件,WebMail系统应有良好的反垃圾邮件功能,一是系统级的垃圾邮件过滤,对一些被投诉和列入反垃圾邮件组织黑名单的邮件地址进行过滤,二是用户级的垃圾邮件过滤,使WebMail用户可以定制自己的邮件过滤规则,拒绝不受欢迎的邮件,免受垃圾邮件的困扰。

使用一些嗅探监听程序,攻击者甚至不需要很高深的专业知识,就能很轻易地嗅探监听到用户WebMail的密码、邮件内容等。有一个叫“密码监听器”的黑客程序,几乎能监听到国内所有免费邮箱的密码。所以,WebMail系统有必要支持SSI,对浏览器与服务器之间传输的数据进行加密,防止被嗅探监听。

一些WebMail系统支持数字签名和数字加密,在WebMail内可以导入基于公钥加密机制(如CA认证中心颁发的数字证书)产生的公私密钥对,能有效地保证邮件的保密性、完整性和不可抵赖性,不过,鉴于WebMail在其他方面的安全问题,一旦攻击者侵入用户的WebMail,用户反而得不偿失,甚至会导致私钥的泄漏。

WebMail系统程序上的漏洞也值得关注,如IMHOWebMail远程帐户劫持漏洞、BasiliXWebMail远程任意文件泄露漏洞、W3MailWebMail执行任意命令漏洞等,甚至21cn.com都曾有过重要路径泄漏漏洞。

从上面我们可以看到,WebMail的安全问题不容乐观,如果要较好地解决它,一方面要增强WebMail系统的安全性,另一方面则依赖于用户对WebMail的正确使用,这些在上面都有讨论,在此就不赘述。如果用户在正确使用WebMail后仍然存在安全问题,那么剩下的,就是去选择一个好的邮件服务商,或者通过邮件客户端软件来收发邮件,不过,使用outlook等邮件客户端软件又会引发其它的安全问题,例如爱虫、求职信等病毒就是利用outlook的漏洞来扩散传播和危害用户的。

举报

  • 相关推荐
  • BYDFi 亮相首尔Meta Week 2025,聚焦Web3愿景与全球合规战略

    韩国首尔,2025年6月26日 —— 全球领先的加密货币交易平台 BYDFi 将参与2025年首尔 Meta Week:METACON(SMW2025),活动于6月26–27日在首尔 COEX 会展中心三楼礼堂举行。BYDFi 是 SMW2025官方合作伙伴之一,同列的还有三星、谷歌、英特尔、Spotify、Kakao、NAVER Cloud 和 GitHub 等知名科技公司。BYDFi 在 SMW2025 的参展亮点作为 SMW2025官方合作伙伴之一,BYDFi 的参与体现了其在不断发展的 Web3和数字�

  • 十年iOS老将的鸿蒙征途,京东支付冯笑的开发实战录

    京东支付资深开发者冯笑在iOS开发领域深耕十年后,积极拥抱鸿蒙生态转型。他带领团队从零构建京东支付SDK鸿蒙版本,克服了二维码生成、页面路由等技术难题,通过与华为团队紧密合作解决系统初期功能不完善的问题。冯笑指出鸿蒙与iOS在声明式UI、组件化开发等方面有共性,但鸿蒙更强调万物互联和设备协同。他建议开发者转变思维模式,从命令式转向声明式编程,通过官方文档学习和实践项目快速掌握鸿蒙开发。冯笑团队目前双线作战,既维护成熟的iOS支付功能,又持续推进鸿蒙端功能对齐和技术沉淀,为鸿蒙生态繁荣贡献力量。

  • CertiK 联合创始人顾荣辉做客纽交所,剖析 Web3.0 安全挑战与未来趋势

    2025年5月21日,CertiK联合创始人顾荣辉教授在纽约证券交易所接受FintechTV专访,深入探讨Web3.0领域的安全问题。访谈聚焦Bybit和Coinbase近期安全事件,分析其暴露的系统性风险,并展望Web3.0安全发展趋势。顾教授指出,2025年第一季度全球区块链安全事件损失达16.7亿美元,其中Bybit的Safe Wallet遭新型攻击尤为突出,凸显Web3.0多层防护的迫切需求。他强调行业需加速构建更韧性的安全机制,呼吁完善监管框架,将网络安全纳入核心范畴。作为新加坡金管局顾问,顾教授建议监管制度需持续迭代,尤其在私钥保护等关键环节提供明确指引。他指出Web3.0行业对数据隐私的重视远超传统金融,推动行业向"用户为中心、安全优先"转型。未来监管框架、网络安全和数据隐私将成为推动Web3.0健康发展的三大支柱。CertiK作为全球最大Web3.0安全公司,持续为行业提供全周期安全产品和服务。

  • 史上首次!曝苹果A18芯片将登陆MacBook:价格或破新低

    苹果将于2025年底至2026年初推出首款搭载iPhone芯片的低价MacBook,采用iPhone 16同款的A18芯片,配备13英寸显示屏,提供银色、蓝色、粉色和黄色四种配色。 这款全新的MacBook将成为苹果历史上首款使用iPhone芯片的Mac产品,打破此前MacBook仅搭载M系列芯片的传统。 苹果 A18 芯片基于台积电N3E制程工艺打造,其CPU采用6核架构,包含2个性能核心与4个能效核心,集成了5核GPU及16核神经引

  • 年度攻防演练专题 | 构建暴露面管理安全防御“综合体”,提升应对攻击的韧性和可持续性

    随着全球信息化程度的加深,云计算平台及其各类应用全面接入互联网,然而,从底层网络架构,到上层业务应用,再到敏感数据存储,每一个环节都像是未上锁的门,成为黑客觊觎的潜在入侵点。面对复杂且变化不断的网络环境与新型攻击手段,为确保企业业务稳定运行并精准识别、缩小潜在攻击面,暴露面管理显得尤为重要。尤其在重保期间,企业需要一种更加主动、更�

  • 苹果将推出廉价版MacBook:搭载A18 Pro芯片+13英寸屏幕

    据知名分析师郭明錤爆料,苹果将首次推出推廉价版MacBook,预计在今年年底,或明年初开始量产,也会在明年正式上市。 产品规划与以往的MacBook有很大不同,尤其是处理器将采用A18Pro,将移动端芯片应用在笔记本上。 采用较小的尺寸,配备13英寸屏幕,并且主打多彩外壳,包括银色、蓝色、粉色、黄色。 从性能上来说,A18Pro应对日常主流的办公和学习完全没问题,也能与�

  • 108万的Labubu,才不是王宁的「上限」

    最贵的Labubu诞生了——一款显示为初代藏品薄荷色的Labubu以108万的价格完成竞拍。 这一消息瞬间引爆了社交媒体,不同声音涌入其中,使其瞬间登上了小红书、微博等多个热搜榜前列。有人认为这是“为情绪价值买单的时代”,也有人喊出“这个世界疯了”。

  • 8.8mm最薄折叠机皇!荣耀Magic V5今晚登场

    荣耀Magic V5将在今天19点正式发布。 该机折叠态厚度只有8.8mm,成为全球最薄折叠屏,整机重量仅217g,比iPhone 16 Pro Max更轻盈,单手握持毫无压力。 在轻薄机身里,荣耀塞进了6100mAh超大电池,这是全球首个量产的青海湖刀片电池,采用行业领先的25%硅含量电池技术,配合自研荣耀AI都江堰电源管理系统,彻底告别折叠屏续航焦虑。

  • 首发青海湖刀片电池!荣耀Magic V5在8.8mm机身塞入6100mAh电池

    荣耀Magic V5将在7月2日19:00发布,该机拥有目前行业最薄的8.8mm机身,甚至超越一些直板机。 值得注意的是,在这种极限厚度下,荣耀Magic V5还搭载了6100mAh电池,是大折叠最大容量。

  • 荣耀Magic V5厚度仅8.8mm 将于 7 月 2 日发布

    据官方披露,Magic V5不仅厚度创新低,其重量也控制在219克以内,与主流直板旗舰机型相当,彻底改变了折叠屏手机“厚重”的刻板印象。这一突破将显著提升用户对折叠屏手机的接受度,使其在便携性与实用性上更贴近日常使用需求。 设计方面,Magic V5后摄模组延续荣耀家族式风格,采用后置三摄方案,并配备潜望式长焦镜头,满足多场景拍摄需求。在轻薄机身基础上,该�