激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

        Webmail攻防實戰(zhàn)(2)

        發(fā)布時間:  2012/8/14 13:51:47
         二、WebMail暴力破解

        Internet上客戶端與服務端的交互,基本上都是通過在客戶端以提交表單的形式交由服務端程序(如CGI、ASP等)處理來實現(xiàn)的,WebMail的密碼驗證即如此,用戶在瀏覽器的表單元素里輸入帳戶名、密碼等信息并提交以后,服務端對其進行驗證,如果正確的話,則歡迎用戶進入自己的WebMail頁面,否則,返回一個出錯頁面給客戶端。

        籍此,攻擊者借助一些黑客工具,不斷的用不同的密碼嘗試登錄,通過比較返回頁面的異同,從而判斷出郵箱密碼是否破解成功。幫助攻擊者完成此類暴力破解的工具有不少,如wwwhack、小榕的溯雪等,尤以溯雪的功能最為強大,它本身已經(jīng)是一個功能完善的瀏覽器,通過分析和提取頁面中的表單,給相應的表單元素掛上字典文件,再根據(jù)表單提交后返回的錯誤標志判斷破解是否成功。

        當然我們也看到,溯雪之類的web探測器,可以探測到的不僅是WebMail的密碼,像論壇、聊天室之類所有通過表單進行驗證登錄的帳戶密碼都是可以探測到的。

        對于WebMail的暴力破解,許多WebMail系統(tǒng)都采取了相應的防范措施。如果某帳戶在較短的時間內(nèi)有多次錯誤登錄,即認為該帳戶受到了暴力破解,防范措施一般有如下三種:

        1、禁用帳戶:把受到暴力破解的帳戶禁止一段時間登錄,一般是5至10分鐘,但是,如果攻擊者總是嘗試暴力破解,則該帳戶就一直處于禁用狀態(tài)不能登錄,導致真正的用戶不能訪問自己的郵箱,從而形成DOS攻擊。

        2、禁止IP地址:把進行暴力破解的IP地址禁止一段時間不能使用WebMail。這雖然在一定程度上解決了“禁用帳戶”帶來的問題,但更大的問題是,這勢必導致在網(wǎng)吧、公司、學校甚至一些城域網(wǎng)內(nèi)共用同一IP地址訪問internet的用戶不能使用該WebMail。如果攻擊者采用多個代理地址輪循攻擊,甚至采用分布式的破解攻擊,那么“禁止IP地址”就難以防范了。

        3、登錄檢驗:這種防范措施一般與上面兩種防范措施結合起來使用,在禁止不能登錄的同時,返回給客戶端的頁面中包含一個隨機產(chǎn)生的檢驗字符串,只有用戶在相應的輸入框里正確輸入了該字符串才能進行登錄,這樣就能有效避免上面兩種防范措施帶來的負面影響。不過,攻擊者依然有可乘之機,通過開發(fā)出相應的工具提取返回頁面中的檢驗字符串,再將此檢驗字符串做為表單元素值提交,那么又可以形成有效的WebMail暴力破解了。如果檢驗字符串是包含在圖片中,而圖片的文件名又隨機產(chǎn)生,那么攻擊者就很難開發(fā)出相應的工具進行暴力破解,在這一點上,yahoo電郵就是一個非常出色的例子。

        雖然WebMail的暴力破解有諸多的防范措施,但它還是很難被完全避免,如果WebMail系統(tǒng)把一分鐘內(nèi)五次錯誤的登錄當成是暴力破解,那么攻擊者就會在一分鐘內(nèi)只進行四次登錄嘗試。所以,防范WebMail暴力破解還主要靠用戶自己采取良好的密碼策略,如密碼足夠復雜、不與其他密碼相同、密碼定期更改等,這樣,攻擊者很難暴力破解成功。

        三、郵箱密碼恢復

        難免會有用戶遺失郵箱密碼的情況,為了讓用戶能找回密碼繼續(xù)使用自己的郵箱,大多數(shù)WebMail系統(tǒng)都會向用戶提供郵箱密碼恢復機制,讓用戶回答一系列問題,如果答案都正確的話,就會讓用戶恢復自己郵箱的密碼。但是,如果密碼恢復機制不夠合理和安全,就會給攻擊者加以利用,輕松獲取他人郵箱密碼。下面是許多WebMail系統(tǒng)密碼恢復機制所采取的密碼恢復步驟,只有用戶對每步提出的問題回答正確的話才會進入下一步,否則返回出錯頁面,針對每一步,攻擊者都有可乘之機:

        第一步:輸入帳戶:在進入密碼恢復頁面后首先提示用戶輸入要恢復密碼的郵箱帳戶。這一步對攻擊者而言自然不成問題,郵箱帳戶就是他要攻擊的目標。

        第二步:輸入生日:提示用戶按年月日輸入自己的生日。這一步對攻擊者而言也很輕松,年月日的排列組合很小,借助溯雪等工具很快就能窮舉破解出來,所以WebMail系統(tǒng)有必要在此采取暴力破解防范措施。并且每個用戶需要注意的是,攻擊者不一定來自地球的另一端,很可能就是你身邊的人,或許這些人更想知道你郵箱里有什么秘密,而他們要弄清你的生日往往是件輕而易舉的事情,你不是昨天才過了生日party嗎?你不是剛剛把身份證復印件交給人事部嗎?所以,為了郵箱安全,用戶是不是要把真實的生日做為郵箱注冊信息,WebMail系統(tǒng)是不是一定要用戶輸入真實的生日做為注冊信息,這還有待考慮。

        第三步:問題回答:提示用戶回答自己設定的問題,答案也是用戶自己設定的答案。在這一步,攻擊者往往只有靠猜測,不幸的是,很多用戶的問題和答案是如此的簡單,以致于攻擊者能輕易的猜測出來,例如提出的問題只是知識性的問題、提出的問題和答案相同等。攻擊者對用戶越熟悉,成功的可能性就越大,例如有用戶問“你男朋友是哪里人”,殊不知,攻擊者正是她的男朋友。所以,用戶把問題設置成唯有自己知道的答案至關重要,這樣攻擊者才很難得逞,不過不要忘了答案,否則就得不償失了。


        本文出自:億恩科技【mszdt.com】

        服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營性ICP/ISP證:贛B2-20080012
      9. 服務器/云主機 24小時售后服務電話:0371-60135900
      10. 虛擬主機/智能建站 24小時售后服務電話:0371-60135900
      11. 專注服務器托管17年
        掃掃關注-微信公眾號
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
          0
         
         
         
         

        0371-60135900
        7*24小時客服服務熱線