Internet上客戶端與服務端的交互,基本上都是通過在客戶端以提交表單的形式交由服務端程序(如CGI、ASP等)處理來實現的,WebMail的密碼驗證即如此,用戶在瀏覽器的表單元素里輸入帳戶名、密碼等信息并提交以后,服務端對其進行驗證,如果正確的話,則歡迎用戶進入自己的WebMail頁面,否則,返回一個出錯頁面給客戶端。
籍此,攻擊者借助一些黑客工具,不斷的用不同的密碼嘗試登錄,通過比較返回頁面的異同,從而判斷出郵箱密碼是否破解成功。幫助攻擊者完成此類暴力破解的工具有不少,如wwwhack、小榕的溯雪等,尤以溯雪的功能最為強大,它本身已經是一個功能完善的瀏覽器,通過分析和提取頁面中的表單,給相應的表單元素掛上字典文件,再根據表單提交后返回的錯誤標志判斷破解是否成功。
當然我們也看到,溯雪之類的web探測器,可以探測到的不僅是WebMail的密碼,像論壇、聊天室之類所有通過表單進行驗證登錄的帳戶密碼都是可以探測到的。
對于WebMail的暴力破解,許多WebMail系統都采取了相應的防范措施。如果某帳戶在較短的時間內有多次錯誤登錄,即認為該帳戶受到了暴力破解,防范措施一般有如下三種:
1、禁用帳戶:把受到暴力破解的帳戶禁止一段時間登錄,一般是5至10分鐘,但是,如果攻擊者總是嘗試暴力破解,則該帳戶就一直處于禁用狀態不能登錄,導致真正的用戶不能訪問自己的郵箱,從而形成DOS攻擊。
2、禁止IP地址:把進行暴力破解的IP地址禁止一段時間不能使用WebMail。這雖然在一定程度上解決了“禁用帳戶”帶來的問題,但更大的問題是,這勢必導致在網吧、公司、學校甚至一些城域網內共用同一IP地址訪問internet的用戶不能使用該WebMail。如果攻擊者采用多個代理地址輪循攻擊,甚至采用分布式的破解攻擊,那么“禁止IP地址”就難以防范了。
3、登錄檢驗:這種防范措施一般與上面兩種防范措施結合起來使用,在禁止不能登錄的同時,返回給客戶端的頁面中包含一個隨機產生的檢驗字符串,只有用戶在相應的輸入框里正確輸入了該字符串才能進行登錄,這樣就能有效避免上面兩種防范措施帶來的負面影響。不過,攻擊者依然有可乘之機,通過開發出相應的工具提取返回頁面中的檢驗字符串,再將此檢驗字符串做為表單元素值提交,那么又可以形成有效的WebMail暴力破解了。如果檢驗字符串是包含在圖片中,而圖片的文件名又隨機產生,那么攻擊者就很難開發出相應的工具進行暴力破解,在這一點上,yahoo電郵就是一個非常出色的例子。
雖然WebMail的暴力破解有諸多的防范措施,但它還是很難被完全避免,如果WebMail系統把一分鐘內五次錯誤的登錄當成是暴力破解,那么攻擊者就會在一分鐘內只進行四次登錄嘗試。所以,防范WebMail暴力破解還主要靠用戶自己采取良好的密碼策略,如密碼足夠復雜、不與其他密碼相同、密碼定期更改等,這樣,攻擊者很難暴力破解成功。
三、郵箱密碼恢復
難免會有用戶遺失郵箱密碼的情況,為了讓用戶能找回密碼繼續使用自己的郵箱,大多數WebMail系統都會向用戶提供郵箱密碼恢復機制,讓用戶回答一系列問題,如果答案都正確的話,就會讓用戶恢復自己郵箱的密碼。但是,如果密碼恢復機制不夠合理和安全,就會給攻擊者加以利用,輕松獲取他人郵箱密碼。 下面是許多WebMail系統密碼恢復機制所采取的密碼恢復步驟,只有用戶對每步提出的問題回答正確的話才會進入下一步,否則返回出錯頁面,針對每一步,攻擊者都有可乘之機:
第一步:輸入帳戶:在進入密碼恢復頁面后首先提示用戶輸入要恢復密碼的郵箱帳戶。這一步對攻擊者而言自然不成問題,郵箱帳戶就是他要攻擊的目標。
第二步:輸入生日:提示用戶按年月日輸入自己的生日。這一步對攻擊者而言也很輕松,年月日的排列組合很小,借助溯雪等工具很快就能窮舉破解出來,所以WebMail系統有必要在此采取暴力破解防范措施。并且每個用戶需要注意的是,攻擊者不一定來自地球的另一端,很可能就是你身邊的人,或許這些人更想知道你郵箱里有什么秘密,而他們要弄清你的生日往往是件輕而易舉的事情,你不是昨天才過了生日party嗎?你不是剛剛把身份證復印件交給人事部嗎?所以,為了郵箱安全,用戶是不是要把真實的生日做為郵箱注冊信息,WebMail系統是不是一定要用戶輸入真實的生日做為注冊信息,這還有待考慮。
第三步:問題回答:提示用戶回答自己設定的問題,答案也是用戶自己設定的答案。在這一步,攻擊者往往只有靠猜測,不幸的是,很多用戶的問題和答案是如此的簡單,以致于攻擊者能輕易的猜測出來,例如提出的問題只是知識性的問題、提出的問題和答案相同等。攻擊者對用戶越熟悉,成功的可能性就越大,例如有用戶問“你男朋友是哪里人”,殊不知,攻擊者正是她的男朋友。所以,用戶把問題設置成唯有自己知道的答案至關重要,這樣攻擊者才很難得逞,不過不要忘了答案,否則就得不償失了。
新聞熱點
疑難解答
