黑客教程:Webmail攻防实战
Python黑客攻防实战指南
Python黑客攻防实战指南在当今数字化时代,网络安全问题变得日益重要。
黑客攻击和数据泄露已经成为企业和个人的头号威胁。
因此,了解黑客攻防技术变得至关重要。
在本篇文章中,我们将向你介绍Python黑客攻防实战指南,来帮助你保护自己和你的组织免受黑客入侵的威胁。
一、黑客攻防基础1. 黑客入侵类型黑客入侵通常可以分为三类:远程攻击、物理攻击和社会工程学攻击。
远程攻击是通过网络进行的,黑客利用漏洞和弱点来获取系统权限。
物理攻击涉及到黑客直接接触或接管目标设备来获取信息。
而社会工程学攻击则是通过伪装、欺骗和操纵人们的行为来获取机密信息。
2. 黑客攻击技术黑客攻击通常利用各种技术和方法,包括钓鱼、恶意软件、拒绝服务攻击(DDoS)等。
钓鱼是指利用伪造的电子邮件、短信或网站来欺骗用户输入个人敏感信息。
恶意软件是一种具有破坏性的计算机程序,常常用于窃取信息或获取系统权限。
而拒绝服务攻击是利用资源枯竭,使服务无法正常运行。
二、Python在黑客攻防中的应用1. 网络扫描Python具有强大的网络编程能力,可以帮助黑客扫描网络上的漏洞和弱点。
通过使用Python的网络扫描库和工具,黑客可以快速发现目标系统的漏洞,并采取相应的措施来加强安全防护。
2. 密码破解密码破解是黑客入侵的一种常见方式。
通过使用Python编写的密码破解脚本,黑客可以尝试多种密码组合来获取目标系统的登录凭证。
Python的高效性能和丰富的库使得密码破解变得更加简单和高效。
3. 嗅探和欺骗黑客可以使用Python编写工具来进行网络嗅探和欺骗攻击。
网络嗅探可以帮助黑客获取目标网络上的敏感信息,如用户名、密码等。
而欺骗攻击则可以通过伪造网络流量和数据包来欺骗目标系统,导致其遭受安全漏洞。
4. 入侵测试Python在黑客攻防领域有着广泛的应用,尤其是在入侵测试方面。
通过使用Python编写的入侵测试工具,黑客可以模拟真实的攻击行为,评估目标系统的安全性。
黑客实施邮件攻击的步骤
黑客实施邮件攻击的步骤1. 收集目标信息黑客首先需要收集目标的相关信息,包括邮箱地址、姓名、职位、公司信息等。
这可以通过社交媒体、公司网站、在线数据库和其他公开渠道获得。
2. 建立信任关系黑客在攻击之前通常会建立信任关系,通过发送伪装成合法邮件的方式,例如伪装成同事、客户、上级或其他可信的人物。
这可以通过在线研究和社交工程技术来实现。
•采用同事身份:黑客可能会伪装成同事向目标发送邮件,使用同事的姓名、公司签名和其他个人信息,并在邮件内容中提及与工作相关的事项,增强信任感。
•采用客户身份:黑客可能会伪装成客户发送邮件,使用与目标公司有关的信息,并在邮件中提及合同、订单或项目等,引起目标的兴趣和对话。
•采用上级身份:黑客可能会伪装成上级向目标发送邮件,使用上级的姓名、职位和权威性,并在邮件中提到紧急事项、指示或授权等,迫使目标做出反应。
3. 发送恶意附件或链接一旦建立了信任关系,黑客将发送包含恶意附件或链接的邮件。
这些附件或链接可能包含恶意软件、钓鱼网站、恶意脚本或其他危险的内容。
•恶意附件:黑客可能将恶意软件隐藏在常见文件格式(如.doc、.xls、.pdf)的附件中,以试图欺骗目标并使其点击打开。
•钓鱼链接:黑客可能会在邮件中嵌入钓鱼链接,通过虚假的网站或登录页面来窃取目标的登录凭据或其他敏感信息。
4. 诱使目标行动黑客通常会在邮件中使用社会工程技术来激发目标的行动。
这可以通过制造紧急情况、引起好奇心或使用其他诱饵来实现。
•制造紧急情况:黑客可能会模拟紧急事件,并引起目标的紧张和担忧,例如欺骗目标说系统存在安全漏洞,需要立即采取行动以避免损失。
•引起好奇心:黑客可以引起目标的好奇心,例如在邮件中提到机密文件、敏感信息或未来计划,以吸引目标点击链接或打开附件。
•使用其他诱饵:黑客可能使用其他类型的诱饵来引起目标的兴趣,例如免费试用、奖品或促销优惠等。
5. 隐匿攻击痕迹为了避免被发现,黑客需要采取措施隐藏攻击的痕迹。
防不胜防--QQ Mail漏洞攻防演练
防不胜防--QQ Mail漏洞攻防演练
佚名
【期刊名称】《电脑知识与技术-经验技巧》
【年(卷),期】2006(000)006
【摘要】无
【总页数】2页(P111-112)
【正文语种】中文
【相关文献】
1.QQ & Gmail一家亲——用QQ邮箱收取Gmail邮件 [J], 李耀南
2.网络密码攻防战--电子邮件,QQ密码攻防 [J], 徐洪霞
3.基于CmailServer漏洞的几种漏洞发现技术 [J], 何乔;张天刚
4.网络安全攻防演练的亮点、痛点和要点——对贵阳大数据与网络安全攻防演练的点评 [J], 郝叶力
5.网络安全攻防演练的亮点、痛点和要点——对贵阳大数据与网络安全攻防演练的点评 [J], 郝叶力;
因版权原因,仅展示原文概要,查看原文内容请购买。
如何保护你的电子邮件免受黑客攻击
如何保护你的电子邮件免受黑客攻击在当今数字化时代,电子邮件已成为人们沟通和交流的重要工具。
然而,随着技术的进步和网络的普及,黑客攻击也日益猖獗。
保护个人电子邮件的安全性变得尤为重要。
本文将介绍一些有效的措施,帮助你提高电子邮件的安全性,以防止黑客攻击。
一、使用强密码密码是许多黑客入侵的最简单途径之一。
为了确保你的电子邮件安全,你应该使用强密码。
一个强密码应该包含大小写字母、数字和特殊字符,长度应不少于8个字符。
避免使用容易猜测的个人信息作为密码,如生日、姓名等。
另外,为了确保安全,不要使用相同的密码在多个网站或应用程序中。
二、启用双重认证双重认证是一种可以大大增加电子邮件安全性的功能。
它要求在你登录邮箱时除了输入密码外,还需要提供一个额外的身份验证因素。
通常这是一个动态验证码,通过手机短信、应用程序或安全令牌的方式提供。
启用双重认证可以将黑客的入侵几率降低,因为即使黑客获得你的密码,他们也无法通过双重认证阶段。
三、小心网络钓鱼攻击网络钓鱼是黑客利用社交工程手法,通过伪造的电子邮件或网站来欺骗用户提供个人敏感信息的一种方式。
要保护自己免受网络钓鱼攻击,要时刻保持警惕。
不要点击来自未知发件人或可疑链接的邮件。
在网上填写个人信息时,要确保网站是安全的,并使用加密连接(https)。
更重要的是,要记住银行和其他机构通常不会通过电子邮件要求你提供敏感信息。
四、定期更新密码和软件为了保护你的电子邮件安全,定期更换密码是一种很好的做法。
密码的定期更换可以避免黑客长时间持有你的密码,提高账户安全性。
此外,你还应该确保你使用的电子邮件软件和操作系统是最新版本,因为软件厂商通常会修复安全漏洞并提供升级补丁以增强安全性。
五、警惕附件和链接黑客常常通过发送恶意附件或包含恶意链接的电子邮件来进行攻击。
要保护你的电子邮件安全,不要轻易打开陌生发件人发送的附件,尤其是来自不可信来源的。
此外,不要点击可疑链接,即使它们来自你认识的人。
如何进行网站安全防护的黑客攻击模拟实战
如何进行网站安全防护的黑客攻击模拟实战随着互联网的不断发展,网络安全问题逐渐成为人们关注的焦点。
尤其是在企业和政府机构等领域,网络安全问题的重要性更加凸显。
为了避免信息泄露、网络瘫痪等问题的发生,加强网站的安全防护显得尤为重要。
一种常见的测试方式,便是通过黑客攻击模拟实战,来评估和提高网站的安全性。
在本文中,我们将讨论如何通过黑客攻击模拟实战,来进行网站安全防护。
1. 了解黑客攻击方式在开始进行黑客攻击模拟实战之前,了解黑客攻击的基本方式,是非常重要的。
黑客攻击的方式非常多样,常见的攻击手段包括:网络钓鱼、网络扫描、漏洞攻击等。
只有充分了解黑客攻击的方式,才能更好地准备和应对。
2. 搭建安全测试环境在进行黑客攻击模拟实战之前,需要搭建一个安全测试环境。
该环境应当和真实环境一样,包括硬件、软件、网络等等。
同时,还需要特别注意数据备份和恢复的问题。
测试环境搭建完成后,可以针对该环境进行黑客攻击模拟实战,以检测网络的安全情况。
3. 进行漏洞扫描漏洞是黑客攻击的入口,通过漏洞攻击,黑客可以获取网络中的各种敏感信息。
因此,在进行黑客攻击模拟实战之前,需要先进行漏洞扫描。
通过扫描网络中的漏洞,发现网络中存在的安全弱点,进而修复这些漏洞,提高网络的安全性。
4. 进行渗透测试渗透测试是黑客攻击模拟实战的重要步骤。
通过渗透测试,模拟黑客攻击的流程,检测网络的安全性。
渗透测试主要分为两种类型:外部渗透测试和内部渗透测试。
外部渗透测试可以发现网络中存在的网络钓鱼、DDoS攻击等问题,内部渗透测试可以发现员工使用不当、权限过大等问题。
5. 提高防范措施通过以上步骤,可以找到网络中存在的安全漏洞并加以修复,提高网络的安全防范能力。
同时,还需要从技术、人员、政策等多个方面提高防范措施。
例如:使用高安全性的软件和硬件等技术手段、培养网络安全人员和员工等人员手段、制定网络安全政策及加强监管等政策手段。
6. 总结在网络安全问题日益严重的今天,加强网站的安全防护显得尤为重要。
防止电子邮件被黑客入侵的方法
防止电子邮件被黑客入侵的方法电子邮件在我们的生活中扮演着重要的角色,它方便我们与他人进行沟通和交流。
然而,随着技术的发展,黑客入侵电子邮件的风险也在不断增加。
黑客可能会获取我们的个人信息、盗取财产或者传播恶意软件。
为了保护我们的电子邮件账户安全,采取一些方法来防止黑客入侵变得至关重要。
本文将介绍几种防止电子邮件被黑客入侵的方法。
一、使用强密码无论是电子邮件还是其他在线账户,使用强密码是防止黑客入侵的基本方法之一。
强密码应该包含大写字母、小写字母、数字和特殊字符,并且长度至少为8位以上。
避免使用与个人信息相关的密码,例如生日、电话号码等。
定期更改密码也是一个好习惯,以确保账户的安全性。
二、启用两步验证两步验证是一种强化账户安全性的方法。
它要求在登录时输入密码后,再输入一个由手机应用生成的动态验证码才能成功登录。
即使黑客获取了账户密码,但他们没有获取手机上的动态验证码,也无法访问账户。
许多电子邮件提供商都提供了两步验证的选项,用户应该及时启用以提高账户的安全性。
三、警惕钓鱼邮件钓鱼邮件是黑客入侵电子邮件的常用手法之一。
黑客通过伪造合法邮件发送者的身份来欺骗用户,引诱用户点击附件或链接,从而获取用户的个人信息。
为了防止钓鱼邮件的侵害,用户应该细心辨认邮件的发送者身份,警惕不明来历的邮件和附件,不轻易点击邮件里的链接或附件。
如果收到可疑邮件,应及时报告给相关的电子邮件提供商。
四、定期更新电子邮件客户端和防病毒软件电子邮件客户端和防病毒软件的更新通常包含安全补丁,以修复已知的漏洞和强化安全性。
定期更新电子邮件客户端和防病毒软件,可以帮助我们及时采取最新的安全措施,保护我们的电子邮件免受黑客入侵的威胁。
五、定期备份电子邮件定期备份电子邮件的重要性不容忽视。
一旦电子邮件遭到黑客入侵,我们仍然可以通过备份文件恢复我们重要的邮件和附件。
备份可以在本地设备上进行,也可以选择使用云存储服务进行备份。
无论哪种方式,定期备份是保护电子邮件安全的有效措施之一。
邮件攻防演练
邮件攻防演练
邮件攻防演练是为了提升公司网络安全防护水平,大力抵御外界的网络威胁而所展开的模拟实战活动。
它的目的在于培养各部门员工对自身邮箱网络安全的认识,以及学会有效地防范高危邮件和其它网络威胁,强化员工安全意识。
始自2003,美国国家安全局(NSA)及美国国家信息安全机构(NIST)一直
开展网络安全教育和防御,采取“发现、分析、模拟”等措施,并于2012年推出“邮件攻防演练”,该演练可让企业、国防机构以及其他机构进行安全培训。
邮件攻防演练的工作原理主要分为三步:第一步,根据攻防专家的工作基础系统定义,发布测试任务;第二步,进行演练过程,收集安全专家对邮件攻防的执行及结果;第三步,结束培训,分析攻防专家在训练中的表现,并以此评估整体攻防能力。
邮件攻防演练既是网络安全培训的重要组成部分,又能够有效提高人们对危险信息的识别和处理能力,进一步加强公司的信息安全防护力度。
有效的攻防演练,不仅可以有效减少企业的网络威胁,同时还可以有效降低应用系统故障带来的巨额损失。
随着技术的不断进步,越来越多的病毒、木马、间谍软件等恶意信息日益浮现,让运营商、企业用户等特别是邮箱安全受到极大威胁。
因此,对于邮件攻防演练,只有让员工做到时刻保持警惕,紧盯演练结果、更新攻防技术,才能真正提升团队的信息安全防护水平。
网络安全攻防实战教程
网络安全攻防实战教程第一章:网络安全基础知识网络安全是当今信息时代必不可少的领域,它涵盖了许多方面的知识。
在这一章节中,我们将介绍网络安全的基本概念和术语,包括网络威胁、黑客常用工具、常见漏洞类型等。
了解这些基础知识对于进行网络安全攻防实战是至关重要的。
第二章:入侵检测与防御入侵检测和防御是网络安全的重要组成部分。
在这一章节中,我们将介绍入侵检测的基本原理和技术,包括网络流量和日志分析、入侵检测系统的部署和配置等。
同时,我们还将讨论一些常见的入侵防御技术,如入侵防火墙、入侵防御系统等。
第三章:密码学与身份认证密码学是网络安全的基石,它涉及到加密和解密技术,以及数字签名和身份认证等方面。
在这一章节中,我们将介绍密码学的基本原理和常用算法,包括对称加密和非对称加密等。
此外,我们还将讨论身份认证的概念和方法,如单因素认证和多因素认证等。
第四章:漏洞扫描与修复漏洞扫描是网络安全攻防中的重要环节,它用于检测和识别系统中存在的漏洞。
在这一章节中,我们将介绍漏洞扫描的基本原理和技术,包括端口扫描、漏洞扫描工具等。
同时,我们还将讨论漏洞修复的方法和策略,如修复漏洞的补丁安装和系统配置等。
第五章:网络攻击与防御网络攻击是对网络系统和数据进行非法访问和破坏的行为。
在这一章节中,我们将介绍一些常见的网络攻击类型,如拒绝服务攻击、网络钓鱼和社交工程攻击等。
同时,我们还将讨论一些网络防御技术,如入侵检测和防御系统、防火墙和防病毒软件等。
第六章:网络取证与法律网络取证是在网络安全事件发生后进行的调查和证据收集的过程。
在这一章节中,我们将介绍网络取证的基本原理和常用方法,包括数据恢复和网络日志分析等。
同时,我们还将讨论与网络安全相关的法律和法规,如《计算机信息网络国际联网安全保护管理办法》等。
第七章:实战演练实战演练是提高网络安全攻防能力的最佳方式之一。
在这一章节中,我们将介绍一些实战演练的方法和案例,包括模拟网络攻击和漏洞挖掘等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Webmail是指利用浏览器通过web方式来收发电子邮件的服务或技术,不需借助邮件客户端,可以说只要能上网就能使用webmail,极大地方便了用户对邮件的收发。
对于不能熟练使用邮件客户端,或者在网吧不便使用邮件客户端的用户来说,webmail更是必不可少的选择。
Email能够成为当今internet上应用最广泛的网络服务,webmail可谓功不可没。
由于用户的使用不当或者webmail系统的开发不周,都有可能给webmail的使用带来更多的安全威胁。
同样,webmail系统作为当今电子邮件系统的重要组成部份,它的安全性也是不可忽视的。
一、邮件地址欺骗邮件地址欺骗是非常简单和容易的,攻击者针对用户的电子邮件地址,取一个相似的电子邮件名,在webmail 的邮箱配置中将“发件人姓名”配置成与用户一样的发件人姓名(有些webmail系统没有提供此功能),然后冒充该用户发送电子邮件,在他人收到邮件时,往往不会从邮件地址、邮件信息头等上面做仔细检查,从发件人姓名、邮件内容等上面又看不出异样,误以为真,攻击者从而达到欺骗的目的。
例如某用户的电子邮件名是wolfe,攻击者就会取w0lfe、wo1fe、wolfee、woolfe之类相似的电子邮件名来进行欺骗。
虽然免费的午餐越来越难吃,但还是有很多用户使用的是免费电子邮箱,通过注册申请,攻击者很容易得到相似的电子邮件地址。
人们通常以为电子邮件的回复地址就是它的发件人地址,其实不然,在RFC 822中明确定义了发件人地址和回复地址可以不一样,熟悉电子邮件客户端使用的用户也会明白这一点,在配置帐户属性或撰写邮件时,可以指定与发件人地址不同的回复地址。
由于用户在收到某个邮件时,虽然会检查发件人地址是否真实,但在回复时,并不会对回复地址做出仔细的检查,所以,如果配合smtp欺骗使用,发件人地址是要攻击的用户的电子邮件地址,回复地址则是攻击者自已的电子邮件地址,那么这样就会具有更大的欺骗性,诱骗他人将邮件发送到攻击者的电子邮箱中。
所谓害人之心不可有,防人之心不可无,鉴于邮件地址欺骗的易于实现和危险性,我们不得不时时提防,以免上当受骗。
对于webmail系统而言,提供邮件信息头内容检查、smtp认证(如果该邮件系统支持smtp 的话)等服务技术,将邮件地址欺骗带来的危害降至最小是非常有必要的。
对邮件用户而言,认真检查邮件的发件人邮件地址、发件人IP地址、回复地址等邮件信息头内容是很重要的。
二、Webmail暴力破解Internet上客户端与服务端的交互,基本上都是通过在客户端以提交表单的形式交由服务端程序(如CGI、ASP等)处理来实现的,webmail的密码验证即如此,用户在浏览器的表单元素里输入帐户名、密码等信息并提交以后,服务端对其进行验证,如果正确的话,则欢迎用户进入自己的webmail页面,否则,返回一个出错页面给客户端。
籍此,攻击者借助一些黑客工具,不断的用不同的密码尝试登录,通过比较返回页面的异同,从而判断出邮箱密码是否破解成功。
帮助攻击者完成此类暴力破解的工具有不少,如wwwhack、小榕的溯雪等,尤以溯雪的功能最为强大,它本身已经是一个功能完善的浏览器,通过分析和提取页面中的表单,给相应的表单元素挂上字典文件,再根据表单提交后返回的错误标志判断破解是否成功。
当然我们也看到,溯雪之类的web探测器,可以探测到的不仅是webmail的密码,像论坛、聊天室之类所有通过表单进行验证登录的帐户密码都是可以探测到的。
对于webmail的暴力破解,许多webmail系统都采取了相应的防范措施。
如果某帐户在较短的时间内有多次错误登录,即认为该帐户受到了暴力破解,防范措施一般有如下三种:1、禁用帐户:把受到暴力破解的帐户禁止一段时间登录,一般是5至10分钟,但是,如果攻击者总是尝试暴力破解,则该帐户就一直处于禁用状态不能登录,导致真正的用户不能访问自己的邮箱,从而形成DOS 攻击。
2、禁止IP地址:把进行暴力破解的IP地址禁止一段时间不能使用webmail。
这虽然在一定程度上解决了“禁用帐户”带来的问题,但更大的问题是,这势必导致在网吧、公司、学校甚至一些城域网内共用同一IP 地址访问internet的用户不能使用该webmail。
如果攻击者采用多个代理地址轮循攻击,甚至采用分布式的破解攻击,那么“禁止IP地址”就难以防范了。
3、登录检验:这种防范措施一般与上面两种防范措施结合起来使用,在禁止不能登录的同时,返回给客户端的页面中包含一个随机产生的检验字符串,只有用户在相应的输入框里正确输入了该字符串才能进行登录,这样就能有效避免上面两种防范措施带来的负面影响。
不过,攻击者依然有可乘之机,通过开发出相应的工具提取返回页面中的检验字符串,再将此检验字符串做为表单元素值提交,那么又可以形成有效的webmail暴力破解了。
如果检验字符串是包含在图片中,而图片的文件名又随机产生,那么攻击者就很难开发出相应的工具进行暴力破解,在这一点上,yahoo电邮就是一个非常出色的例子。
虽然webmail的暴力破解有诸多的防范措施,但它还是很难被完全避免,如果webmail系统把一分钟内五次错误的登录当成是暴力破解,那么攻击者就会在一分钟内只进行四次登录尝试。
所以,防范webmail暴力破解还主要靠用户自己采取良好的密码策略,如密码足够复杂、不与其他密码相同、密码定期更改等,这样,攻击者很难暴力破解成功。
三、邮箱密码恢复难免会有用户遗失邮箱密码的情况,为了让用户能找回密码继续使用自己的邮箱,大多数webmail系统都会向用户提供邮箱密码恢复机制,让用户回答一系列问题,如果答案都正确的话,就会让用户恢复自己邮箱的密码。
但是,如果密码恢复机制不够合理和安全,就会给攻击者加以利用,轻松获取他人邮箱密码。
下面是许多webmail系统密码恢复机制所采取的密码恢复步骤,只有用户对每步提出的问题回答正确的话才会进入下一步,否则返回出错页面,针对每一步,攻击者都有可乘之机:第一步:输入帐户:在进入密码恢复页面后首先提示用户输入要恢复密码的邮箱帐户。
这一步对攻击者而言自然不成问题,邮箱帐户就是他要攻击的目标。
第二步:输入生日:提示用户按年月日输入自己的生日。
这一步对攻击者而言也很轻松,年月日的排列组合很小,借助溯雪等工具很快就能穷举破解出来,所以webmail系统有必要在此采取暴力破解防范措施。
并且每个用户需要注意的是,攻击者不一定来自地球的另一端,很可能就是你身边的人,或许这些人更想知道你邮箱里有什么秘密,而他们要弄清你的生日往往是件轻而易举的事情,你不是昨天才过了生日party 吗?你不是刚刚把身份证复印件交给人事部吗?所以,为了邮箱安全,用户是不是要把真实的生日做为邮箱注册信息,webmail系统是不是一定要用户输入真实的生日做为注册信息,这还有待考虑。
第三步:问题回答:提示用户回答自己设定的问题,答案也是用户自己设定的答案。
在这一步,攻击者往往只有靠猜测,不幸的是,很多用户的问题和答案是如此的简单,以致于攻击者能轻易的猜测出来,例如提出的问题只是知识性的问题、提出的问题和答案相同等。
攻击者对用户越熟悉,成功的可能性就越大,例如有用户问“你男朋友是哪里人”,殊不知,攻击者正是她的男朋友。
所以,用户把问题设置成唯有自己知道的答案至关重要,这样攻击者才很难得逞,不过不要忘了答案,否则就得不偿失了。
在用户正确完成以上各步骤以后,webmail系统就会让用户恢复自己邮箱帐户的密码。
密码恢复的方式又各有不同,一般有如下几种方式,安全程度各有不同:1、页面返回:返回的页面里显示用户的邮箱密码。
这样故然方便省事,但是如果让攻击者得到密码,则能在丝毫不惊动用户的情况下使用用户的邮箱,使得攻击者能长期监视用户的邮箱使用情况,给用户带来更大的安全隐患。
2、邮件发送:将密码发送到用户注册时登记的另一个邮箱里。
对于攻击者来说,忙了半天,仍然是一无所获,除非继续去攻击另一个邮箱;对于用户来说,在另一个邮箱里收到发来的密码则是一个警告,说明有攻击者猜测到了他的邮箱密码提示问题,迫使用户尽快改变自己的密码提示问题。
不过,如果用户注册时登记的不是一个正确的邮箱,或者该邮箱已经失效,那么,这样不仅是攻击者,就是用户本人也永远得不到密码了。
有些webmail系统在注册时要求用户登记正确的邮件地址,并把邮箱开通的验证信息发往该邮件地址,不过这样仍然不能避免用户在邮箱失效后不能恢复自己邮箱密码的情况发生。
3、密码重设:让用户重新设置一个密码。
这种方式相比“页面返回”方式,在攻击者重设密码后,用户因为不能正常登录进自己的邮箱而能察觉出受到攻击,安全性相对好一些;但是相比“邮件发送”方式,因为攻击者能立即修改邮箱密码,少了一层保障,安全性又差一些。
由“页面返回”或“邮件发送”回来的密码可以明显看出,该电子邮件系统是把邮箱帐户的密码未经加密直接以明文保存在数据库或LDAP服务器中。
这样就造成很大的安全隐患,webmail系统管理员或侵入数据库的攻击者能轻易获取用户的邮箱密码,用户却完全不知情,所以为了加大保密性,有必要将邮箱密码加密后再以密文存入数据库,最好用不可逆的单向加密算法,如md5等。
邮箱密码恢复机制是否安全,主要还是看webmail系统提出什么样的问题、采取什么样的问答方式,例如将多个密码恢复步骤中提出的问题放在一步中一起提出,就会相应地增加攻击者的难度从而提高安全性,像搜狐邮件、新浪邮件和yahoo电邮等都是一些令人失望的例子。
四、恶性HTML邮件电子邮件有两种格式:纯文本(txt)和超文本(html)。
Html邮件由html语言写成,当通过支持html的邮件客户端或以浏览器登录进入webmail查看时,有字体、颜色、链接、图像、声音等等,给人以深刻的印象,许多垃圾广告就是以html邮件格式发送的。
利用html邮件,攻击者能进行电子邮件欺骗,甚至欺骗用户更改自己的邮箱密码。
例如攻击者通过分析webmail密码修改页面的各表单元素,设计一个隐含有同样表单的html页面,预先给“新密码”表单元素赋值,然后以html邮件发送给用户,欺骗用户说在页面中提交某个表单或点击某个链接就能打开一个精彩网页,用户照做后,在打开“精彩网页”的同时,一个修改邮箱密码的表单请求已经发向webmail系统,而这一切,用户完全不知情,直到下次不能登录进自己邮箱的时候。
为了防止此类的html邮件欺骗,在修改邮箱配置时,特别是修改邮箱密码和提示问题时,webmail系统有必要让用户输入旧密码加以确认,这样也能有效防止载取到当前webmail会话的攻击者(下面会介绍)更改邮箱密码。
通过在html邮件中嵌入恶性脚本程序,攻击者还能进行很多破坏攻击,如修改注册表、非法操作文件、格式化硬盘、耗尽系统资源、修改“开始”菜单等,甚至能删除和发送用户的邮件、访问用户的地址簿、修改邮箱帐户密码等等。