邮件攻击与邮件安全.docx
- 文档编号:9775818
- 上传时间:2023-05-21
- 格式:DOCX
- 页数:7
- 大小:21.91KB
邮件攻击与邮件安全.docx
《邮件攻击与邮件安全.docx》由会员分享,可在线阅读,更多相关《邮件攻击与邮件安全.docx(7页珍藏版)》请在冰点文库上搜索。
邮件攻击与邮件安全
1.邮件系统所面临的问题及现状
其一,邮件服务器未能及时修复系统漏洞导致的信息遗失。
目前,大多数邮件服务器使用的是Windows、Unix或Linux系统,由于服务器系统一直处于安装时的补丁状态,未对新发现的漏洞进行及时修复。
据统计,洪水攻击、DDOS攻击、列举式字典攻击的情况不时威胁着邮件服务器,攻击者在对服务器存在的已知漏洞研究定量后,对服务器进行crawling和信息抓取,获取开发人员或管理员在服务器上留下的资料,通过这些资料突破服务器,从而将木马程序植入服务器中,窃取用户资料,危害用户的利益。
其二,服务器盲目整合对邮件服务器带来的安全隐患。
在构建邮件系统网络中,由于一些企业或部门为了节约成本,将邮件服务器和其他服务器(如Web应用、数据库等)整合在一台服务器中,虽然对邮件系统进行了邮件过滤和病毒防范,但是Web应用和数据库等漏洞也会对邮件服务器产生安全隐患。
尤其是RPC端点映射器(TCP、UDP135端口)、BetBIOS会话服务与CIFS服务(TCP139、445端口),这些服务都可能遭受攻击,给Windows环境安全带来严重威胁。
虽然网络系统中部署了防火墙,但只有正确的安全策略设置,才能保证内部网络的安全。
其三,邮件本身所存在的安全隐患。
对于邮件本身,产生电子邮件安全隐患主要有三个方面:
一是电子邮件传送协议自身的先天安全隐患,由于电子邮件传输采用的是SMTP协议,即简单邮件传输协议,它传输的数据没有经过任何加密,只要攻机者在其传输过程中把它截获即可知道内容;二是邮件接收客户端软件的设计缺陷导致的,如攻击编制一定代码让木马或者病毒自动运行,或者根据客户端存在的漏洞,如TheBat口令保护被绕过漏洞、OutlookExpress标识不安全漏洞Foxmail口令绕过漏洞等,入侵者在控制存在这些漏洞的计算机后,可以轻易获取E-mail地址以及相对应的用户名与密码,如果存在E-mail通讯录,还可以获取与其联系的其他人的E-mail地址信息;三是用户个人粗心使用导致的安全隐患。
其四,管理人员的失误造成的系统风险。
很多管理员由于对邮件服务器配置不熟悉,搭建邮件服务器平台时,未对系统的用户、服务、端口配置和安全策略进行设置,在管理中忽视了系统漏洞升级,在使用上下载并执行未经安全检查的软件,也给邮件系统带来极大风险。
2.电子邮件系统所受攻击类型的分析
电子邮件系统可以通过客户端和Web两种方式进行访问,客户端访问可以通过限制连接数进行访问控制,从而杜绝垃圾邮件利用,其安全防范较为简单。
而通过Web方式访问店址邮件,其针对网页应用的漏洞和攻击形式都已运用到网页邮箱系统中,然而考虑到Web邮箱系统自身的特点以及各种类型Web漏洞的在实际运用中的普遍程度和攻击效果,我们侧重考虑如下五种安全风险类型。
2.1注入漏洞攻击
这种漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。
注入漏洞是因为字符过滤不严谨所造成的,可以得到管理员的账号密码等相关资料。
这种漏洞包括SQL注入、代码注入、命令注入、LDAP注入、XPath注入等。
对于Web电子邮箱系统,注入漏洞和一般的Web应用并无太多差别,因而测试方法和一般的Web应用注入漏洞测试方法无异,对于SQL注入漏洞主要测试Web邮箱系统中涉及数据库操作的部分,其他类型的注入漏洞则根据目标Web邮箱的具体实现而进行分析。
从开发者的角度来考虑,Web应用程序中能触发此类注入漏洞的点是相对固定的,此类漏洞的测试和利用方式亦无太大变化,因而比较容易分析和防御。
2.2跨站请求伪造攻击
跨站请求伪造(Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
跟跨站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
跨站请求伪造漏洞的根源在于浏览器不同标签页之间共享同域会话数据的机制,具体来说,当用户完成对目标Web应用站点的登录验证之后,浏览器会存储登陆验证之后由Web应用服务器返回给浏览器的会话认证信息(即Cookie数据),之后凡是针对该站点的HTTP请求,浏览器都会自动带上会话认证信息进行校验,利用这一特性,攻击者可以伪造HTTP表单,诱骗受害用户浏览执行,从而在受害用户不知情的情况下以受害用户的身份执行表单请求操作,这就是跨站请求伪造。
除此而外,最为重要的一点需要注意,目前主流的Web邮箱系统大多数都提供了邮件自动转寄功能,一旦存在跨站请求伪造漏洞,攻击者可以在用户不知情的情况下篡改目标用户的邮件转发地址,这毫无疑问早一种操作极其简单而危害却非常严重的攻击方式。
2.3URL访问控制
是指Web应用开发者未能对URL的访问权限进行认证,导致攻击者可以通过简单地修改URL地址,访问本该需要通过用户名密码认证授权才能访问的资源,实现越权访问操作。
对于URL访问控制的问题,一般情况来讲,目前己有的Web邮箱系统都不至于出现如此低级的错误,除非目标Web邮件系统由比较粗心或者不熟悉业务的程序员编写,不然一般不会犯URL访问控制权限上缺乏校验的错误。
之所以在此提及此类漏洞,是因为在实际应用中,目前的Web应用大多采用XML或者是JSON格式传递数据,生成此类动态数据的接口中,所以不排除有URL访问控制缺乏校验的问题,这将引发个人隐私公共安全等信息泄露的问题。
2.4JSON劫持攻击
JSON劫持是指利用Web应用开发者不规范的JSON数据传递格式,实现跨域内容操作,通过JSON劫持攻击的主要危害是泄露敏感数据。
通过JSON格式进行数据传递己是目前Web应用开发中常用的手段,当然Web邮箱系统也不例外,很多情况下,Web邮箱系统的访问URL地址中都会带有用户登录系统之后生成的Session校验数据的ID号,比如QQ邮箱系统、新浪邮箱系统。
由于JavaScript被用于传送数据而不是纯粹的代码,因此,一个恶意Web站点可以利用同源策略处理JavaScript方面的缺陷,访问由其他应用程序生成的数据。
如前所述,实施这种攻击时需要提交一个XSRF请求。
但是,由于现在恶意站点能够读取在跨站点响应中返回的数据,因而它能够与目标应用程序进行双向交互。
总而言之,JSON劫持可能导致Web电子邮件中机密信息的泄露。
2.5跨站脚本攻击
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。
人们经常将跨站脚本攻击(CrossSiteScripting)缩写为CSS,但这会与层叠样式表(CascadingStyleSheetsCSS)的缩写混淆。
因此有人将跨站脚本攻击缩写为XSS。
跨站脚本分为3个类型。
(1)持久型跨站:
最直接的危害类型,跨站代码存储在服务器数据库。
(2)非持久型跨站:
反射型跨站脚本漏洞,最普遍的类型。
用户访问服务器-跨站链接-返回跨站代码。
(3)DOM跨站(DOMXSS):
客户端脚本处理逻辑导致的安全问题。
Web邮箱系统主要是提供用户操作电子邮件的接口,最基本的一个功能就是对电子邮件内容的呈现,目前主流的Web邮箱系统都支持邮件内容包含HTML的富文本标签,从而为跨站脚本漏洞提供了泛滥的温床,一旦Web邮箱系统对邮件内容的过滤稍有不慎,则将导致跨站脚本漏洞的产生。
实际情况下,做到对富文本标签的邮件内容过滤是非常困难的:
第一,HTML语法比较松散,允许不常用的特殊字符进行插入分隔;第二,可注入JavaScript脚本触发跨站脚本漏洞的攻击向量繁复;第三,HTMLS标准引入了新的HTML标签,原有的许多HTML标签则增加了新的特性,进一步拓宽了跨站脚本的攻击向量类型。
从跨站脚本漏洞的危害性来看,一旦Web邮箱系统中出现跨站脚本漏洞,攻击者可以轻易获取Web邮箱系统的有效数据,还可操纵Web邮箱系的数据,删除邮件、发送包含特定信息的邮件内容,修改联系人信息等。
Web邮箱系统中的跨站脚本漏洞利用的高级形式是编写针对Web邮箱系统的跨站脚本蠕虫,实现大范围的传播和攻击。
一旦利用蠕虫进行传播,破坏性是可想而知的。
3.电子邮件的具体攻击手段
电子邮件攻击手段有很多种,大致可分为以下两种类型:
第一种类型是利用电子邮件附件进行攻击也就是在发送的电子邮件附件由动一些手脚,这种攻击一般在收件人采用Web方式和P0P3方式接收邮件的情况下使用。
如下五种方式:
a)巧改邮件附件图标
b)在邮件中捆绑木马
c)压缩包附件攻击
d)图片附件攻击
e)碎片对象文件攻击
第二种类型是直接利用电子邮件正文进行攻击也就是常说网页邮件木马。
利用网页邮件木马攻击与网页木马袭击情况类似。
因为一般的电子邮件格式有两种:
一种是普通的文本邮件格式另外一种是HTML网页邮件格式,设想一下,假如将HTML格式的邮件制作成网页木马,收件人打开邮件对不就相当于打开了一个木马网页吗,这确攻击方式比利用邮件附件进行攻击更具隐蔽性和迷惑性,危害也更大,它对采用web邮件接收方式的电脑攻击效果最好,当然对采用邮件客户端接收方式的电脑也有一定的攻击效果。
当我被上帝造出来时,上帝问我想在人间当一个怎样的人,我不假思索的说,我要做一个伟大的世人皆知的人。
于是,我降临在了人间。
我出生在一个官僚知识分子之家,父亲在朝中做官,精读诗书,母亲知书答礼,温柔体贴,父母给我去了一个好听的名字:
李清照。
小时侯,受父母影响的我饱读诗书,聪明伶俐,在朝中享有“神童”的称号。
小时候的我天真活泼,才思敏捷,小河畔,花丛边撒满了我的诗我的笑,无可置疑,小时侯的我快乐无虑。
“兴尽晚回舟,误入藕花深处。
争渡,争渡,惊起一滩鸥鹭。
”青春的我如同一只小鸟,自由自在,没有约束,少女纯净的心灵常在朝阳小,流水也被自然洗礼,纤细的手指拈一束花,轻抛入水,随波荡漾,发髻上沾着晶莹的露水,双脚任水流轻抚。
身影轻飘而过,留下一阵清风。
可是晚年的我却生活在一片黑暗之中,家庭的衰败,社会的改变,消磨着我那柔弱的心。
我几乎对生活绝望,每天在痛苦中消磨时光,一切都好象是灰暗的。
“寻寻觅觅冷冷清清凄凄惨惨戚戚”这千古叠词句就是我当时心情的写照。
最后,香消玉殒,我在痛苦和哀怨中凄凉的死去。
在天堂里,我又见到了上帝。
上帝问我过的怎么样,我摇摇头又点点头,我的一生有欢乐也有坎坷,有笑声也有泪水,有鼎盛也有衰落。
我始终无法客观的评价我的一生。
我原以为做一个着名的人,一生应该是被欢乐荣誉所包围,可我发现我错了。
于是在下一轮回中,我选择做一个平凡的人。
我来到人间,我是一个平凡的人,我既不着名也不出众,但我拥有一切的幸福:
我有温馨的家,我有可亲可爱的同学和老师,我每天平凡而快乐的活着,这就够了。
天儿蓝蓝风儿轻轻,暖和的春风带着春的气息吹进明亮的教室,我坐在教室的窗前,望着我拥有的一切,我甜甜的笑了。
我拿起手中的笔,不禁想起曾经作诗的李清照,我虽然没有横溢的才华,但我还是拿起手中的笔,用最朴实的语言,写下了一时的感受:
人生并不总是完美的,每个人都会有不如意的地方。
这就需要我们静下心来阅读自己的人生,体会其中无尽的快乐和与众不同。
“富不读书富不久,穷不读书终究穷。
”为什么从古到今都那么看重有学识之人?
那是因为有学识之人可以为社会做出更大的贡献。
那时因为读书能给人带来快乐。
自从看了《丑小鸭》这篇童话之后,我变了,变得开朗起来,变得乐意同别人交往,变得自信了……因为我知道:
即使现在我是只“丑小鸭”,但只要有自信,总有一天我会变成“白天鹅”的,而且会是一只世界上最美丽的“白天鹅”……
我读完了这篇美丽的童话故事,深深被丑小鸭的自信和乐观所折服,并把故事讲给了外婆听,外婆也对童话带给我们的深刻道理而惊讶不已。
还吵着闹着多看几本名着。
于是我给外婆又买了几本名着故事,她起先自己读,读到不认识的字我就告诉她,如果这一面生字较多,我就读给她听整个一面。
渐渐的,自己的语文阅读能力也提高了不少,与此同时我也发现一个人读书的乐趣远不及两个人读的乐趣大,而两个人读书的乐趣远不及全家一起读的乐趣大。
于是,我便发展“业务”带动全家一起读书……现在,每每遇到好书大家也不分男女老少都一拥而上,争先恐后“抢书”,当我说起我最小应该让我的时候,却没有人搭理我。
最后还把书给撕坏了,我生气地哭了,妈妈一边安慰我一边对外婆说:
“孩子小,应该让着点。
”外婆却不服气的说:
“我这一把年纪的了,怎么没人让我呀?
”大家人你一言我一语,谁也不肯相让……读书让我明白了善恶美丑、悲欢离合,读一本好书,犹如同智者谈心、谈理想,教你辨别善恶,教你弘扬正义。
读一本好书,如品一杯香茶,余香缭绕。
读一本好书,能使人心灵得到净化。
书是我的老师,把知识传递给了我;书是我的伙伴,跟我诉说心里话;书是一把钥匙,给我敞开了知识的大门;书更是一艘不会沉的船,引领我航行在人生的长河中。
其实读书的真真乐趣也就在于此处,不是一个人闷头苦读书;也不是读到好处不与他人分享,独自品位;更不是一个人如痴如醉地沉浸在书的海洋中不能自拔。
而是懂得与朋友,家人一起分享其中的乐趣。
这才是读书真正之乐趣呢!
这所有的一切,不正是我从书中受到的教益吗?
我阅读,故我美丽;我思考,故我存在。
我从内心深处真切地感到:
我从读书中受到了教益。
当看见有些同学宁可买玩具亦不肯买书时,我便想到培根所说的话:
“世界上最庸俗的人是不读书的人,最吝啬的人是不买书的人,最可怜的人是与书无缘的人。
”许许多多的作家、伟人都十分喜欢看书,例如毛泽东主席,他半边床上都是书,一读起书来便进入忘我的境界。
书是我生活中的好朋友,是我人生道路上的航标,读书,读好书,是我无怨无悔的追求。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 邮件 攻击 安全
![提示](https://static.bingdoc.com/images/bang_tan.gif)