黑客教程：Webmail攻防实战

Webmail是指利用浏览器通过web方式来收发电子邮件的服务或技术，不需借助邮件客户端，可以说只要能上网就能使用webmail，极大地方便了用户对邮件的收发。对于不能熟练使用邮件客户端，或者在网吧不便使用邮件客户端的用户来说，webmail更是必不可少的选择。Email能够成为当今internet上应用最广泛的网络服务，webmail可谓功不可没。

由于用户的使用不当或者webmail系统的开发不周，都有可能给webmail的使用带来更多的安全威胁。同样，webmail系统作为当今电子邮件系统的重要组成部份，它的安全性也是不可忽视的。

一、邮件地址欺骗

邮件地址欺骗是非常简单和容易的，攻击者针对用户的电子邮件地址，取一个相似的电子邮件名，在webmail 的邮箱配置中将“发件人姓名”配置成与用户一样的发件人姓名（有些webmail系统没有提供此功能），然后冒充该用户发送电子邮件，在他人收到邮件时，往往不会从邮件地址、邮件信息头等上面做仔细检查，从发件人姓名、邮件内容等上面又看不出异样，误以为真，攻击者从而达到欺骗的目的。例如某用户的电子邮件名是wolfe，攻击者就会取w0lfe、wo1fe、wolfee、woolfe之类相似的电子邮件名来进行欺骗。虽然免费的午餐越来越难吃，但还是有很多用户使用的是免费电子邮箱，通过注册申请，攻击者很容易得到相似的电子邮件地址。

人们通常以为电子邮件的回复地址就是它的发件人地址，其实不然，在RFC 822中明确定义了发件人地址和回复地址可以不一样，熟悉电子邮件客户端使用的用户也会明白这一点，在配置帐户属性或撰写邮件时，可以指定与发件人地址不同的回复地址。由于用户在收到某个邮件时，虽然会检查发件人地址是否真实，但在回复时，并不会对回复地址做出仔细的检查，所以，如果配合smtp欺骗使用，发件人地址是要攻击的用户的电子邮件地址，回复地址则是攻击者自已的电子邮件地址，那么这样就会具有更大的欺骗性，诱骗他人将邮件发送到攻击者的电子邮箱中。

所谓害人之心不可有，防人之心不可无，鉴于邮件地址欺骗的易于实现和危险性，我们不得不时时提防，以免上当受骗。对于webmail系统而言，提供邮件信息头内容检查、smtp认证（如果该邮件系统支持smtp 的话）等服务技术，将邮件地址欺骗带来的危害降至最小是非常有必要的。对邮件用户而言，认真检查邮件的发件人邮件地址、发件人IP地址、回复地址等邮件信息头内容是很重要的。

二、Webmail暴力破解

Internet上客户端与服务端的交互，基本上都是通过在客户端以提交表单的形式交由服务端程序（如CGI、ASP等）处理来实现的，webmail的密码验证即如此，用户在浏览器的表单元素里输入帐户名、密码等信息并提交以后，服务端对其进行验证，如果正确的话，则欢迎用户进入自己的webmail页面，否则，返回一个出错页面给客户端。

籍此，攻击者借助一些黑客工具，不断的用不同的密码尝试登录，通过比较返回页面的异同，从而判断出邮箱密码是否破解成功。帮助攻击者完成此类暴力破解的工具有不少，如wwwhack、小榕的溯雪等，尤以溯雪的功能最为强大，它本身已经是一个功能完善的浏览器，通过分析和提取页面中的表单，给相应的表单元素挂上字典文件，再根据表单提交后返回的错误标志判断破解是否成功。

当然我们也看到，溯雪之类的web探测器，可以探测到的不仅是webmail的密码，像论坛、聊天室之类所有通过表单进行验证登录的帐户密码都是可以探测到的。

对于webmail的暴力破解，许多webmail系统都采取了相应的防范措施。如果某帐户在较短的时间内有多次错误登录，即认为该帐户受到了暴力破解，防范措施一般有如下三种：

1、禁用帐户：把受到暴力破解的帐户禁止一段时间登录，一般是5至10分钟，但是，如果攻击者总是尝试暴力破解，则该帐户就一直处于禁用状态不能登录，导致真正的用户不能访问自己的邮箱，从而形成DOS 攻击。

2、禁止IP地址：把进行暴力破解的IP地址禁止一段时间不能使用webmail。这虽然在一定程度上解决了“禁用帐户”带来的问题，但更大的问题是，这势必导致在网吧、公司、学校甚至一些城域网内共用同一IP 地址访问internet的用户不能使用该webmail。如果攻击者采用多个代理地址轮循攻击，甚至采用分布式的破解攻击，那么“禁止IP地址”就难以防范了。

3、登录检验：这种防范措施一般与上面两种防范措施结合起来使用，在禁止不能登录的同时，返回给客户端的页面中包含一个随机产生的检验字符串，只有用户在相应的输入框里正确输入了该字符串才能进行登录，这样就能有效避免上面两种防范措施带来的负面影响。不过，攻击者依然有可乘之机，通过开发出相应的工具提取返回页面中的检验字符串，再将此检验字符串做为表单元素值提交，那么又可以形成有效的webmail暴力破解了。如果检验字符串是包含在图片中，而图片的文件名又随机产生，那么攻击者就很难开发出相应的工具进行暴力破解，在这一点上，yahoo电邮就是一个非常出色的例子。

虽然webmail的暴力破解有诸多的防范措施，但它还是很难被完全避免，如果webmail系统把一分钟内五次错误的登录当成是暴力破解，那么攻击者就会在一分钟内只进行四次登录尝试。所以，防范webmail暴力破解还主要靠用户自己采取良好的密码策略，如密码足够复杂、不与其他密码相同、密码定期更改等，这样，攻击者很难暴力破解成功。

三、邮箱密码恢复

难免会有用户遗失邮箱密码的情况，为了让用户能找回密码继续使用自己的邮箱，大多数webmail系统都会向用户提供邮箱密码恢复机制，让用户回答一系列问题，如果答案都正确的话，就会让用户恢复自己邮箱的密码。但是，如果密码恢复机制不够合理和安全，就会给攻击者加以利用，轻松获取他人邮箱密码。

下面是许多webmail系统密码恢复机制所采取的密码恢复步骤，只有用户对每步提出的问题回答正确的话才会进入下一步，否则返回出错页面，针对每一步，攻击者都有可乘之机：

第一步：输入帐户：在进入密码恢复页面后首先提示用户输入要恢复密码的邮箱帐户。这一步对攻击者而言自然不成问题，邮箱帐户就是他要攻击的目标。

第二步：输入生日：提示用户按年月日输入自己的生日。这一步对攻击者而言也很轻松，年月日的排列组合很小，借助溯雪等工具很快就能穷举破解出来，所以webmail系统有必要在此采取暴力破解防范措施。并且每个用户需要注意的是，攻击者不一定来自地球的另一端，很可能就是你身边的人，或许这些人更想知道你邮箱里有什么秘密，而他们要弄清你的生日往往是件轻而易举的事情，你不是昨天才过了生日party 吗？你不是刚刚把身份证复印件交给人事部吗？所以，为了邮箱安全，用户是不是要把真实的生日做为邮箱注册信息，webmail系统是不是一定要用户输入真实的生日做为注册信息，这还有待考虑。