邮箱网 0条评论 7389次浏览 2012年12月29日 星期六 18:06
近期互联网上,一篇名为 《如何通过入侵老师邮箱拿到期末考卷和修改成绩》的帖子被疯狂转载。据悉,这篇帖子的作者是南京大学软件学院的大三学生,这位同学通过邮件系统的存在的安全漏洞入侵老师邮箱,查看老师邮箱的中期末试卷和分数。通过此次事件,之前通过按键音破解@周鸿祎 手机号,并被@李开复 相中的南京大学软件学院刘花花大侠又火了一把,不过也给南大这所百年名校造成了比较差的影响,也暴露了其他很多使用自建企业邮箱存在的安全隐患。那么,有没有技术解决方案呢?网易企业邮箱的工程师从技术上作出了详细的分析。
学生是如何成功入侵的?
1.该学生给老师发送一封带跨站攻击(XSS)脚本的邮件,脚本的作用是获取邮箱cookie并发送给该学生。
2.在老师查看该邮件时,触发脚本自动执行,cookie被成功发送到该学生的邮箱中。
3.该学生在本地浏览器写入所获取到的cookie,并利用教务员邮箱的认证机制缺陷直接登录教务员邮箱。
结果,服务器理所当然认为是该老师在登陆,从而直接登陆教务邮箱。聪明的刘童鞋便顺利拿到考试试题,幸好他人品不错最终没有干坏事。
破解行动的关键点在哪里呢?很明显就是给老师发送了一封包含跨站攻击脚本的邮件,同时由于南大软件学院的邮件系统本身的安全机制缺失或不足,从而导致入侵成功。
邮件系统存在哪些隐患?
笔者发现这位同学其实就是简单利用了某些邮件系统在安全方面存在的问题进行入侵。通过整个事件,可以发现主要存在如下几个薄弱环节:
1.安全意识的薄弱,传统安全主要防外而忽略对内的防护。
2.现在大部分邮件系统都支持直接html浏览,但如果对html中的脚本过滤不严谨就可能导致跨站攻击漏洞的产生。
3.邮件系统本身的身份验证过于简单,仅靠cookie认证身份存在风险。
4.邮件系统安全机制单一,对于安全要求高的单位和个人,没有制定更加完善的安全策略。因此采用自建系统时需要更关注系统本身的安全性和稳定性。
5.没有专业的安全团队负责邮件系统的整体安全评估,导致无法及时发现系统中存在的安全隐患并进行处理。
6.自建邮件系统可能还存在系统版本陈旧,没有进行及时的升级更新。包括邮件系统的升级更新,操作系统的升级更新,安全设备的升级更新等。
如何解决此类问题?
作为网易企业邮箱的一名工程师,同时也是一个邮箱技术Geek,笔者认为通过如下技术就能完全解决存在的问题:
1.Webmail邮件内容脚本严格过滤
专业安全团队实时跟踪所有已发现跨站攻击脚本漏洞,在Webmail上对各种跨站攻击脚本严格过滤,保障客户邮件使用的安全。
2.全程SSL加密
运用SSL加密技术,保证WEB浏览器跟服务器之间的数据传输的安全,减少被网络监听或拦截的风险。
3.IP异常登录提醒
对于异常的IP登录,及时提醒用户,最大限度降低被非法入侵后带来的损失。
4.邮件加密功能
制定多种安全策略,对重要的邮件和文件夹进行加密,即使邮箱密码被盗或通过其他手段非法入侵邮箱,也能对重要邮件资料进行二次保护,提高安全性。
5.专业的系统运维团队
专业的系统运维团队,由在邮箱领域具有丰富工作经验的技术人员组成,对邮件系统可能存在的问题和风险都非常熟悉,能依靠其专业知识,在邮件系统的运维过程中不断发现问题并加以改进,保证邮件系统一直运行于最佳状态。顺便卖个广告:在网易安全团队对安全的不懈追求下,网易企业邮箱正式得到国家信息安全部门的认可,已达国内企业邮件系统最高安全级别。