一种针对web电子邮件的攻击方法研究.pdf

收藏

编号:20181110221717077298    类型:共享资源    大小:291.64KB    格式:PDF    上传时间:2019-02-16
  
2
金币
关 键 词:
Web Web的电子邮件 web 电子邮件 web电子邮箱 1的办法 一个进攻 种攻击手段 电子邮件的 电子邮箱 的攻击方法 针对电子邮件的 个攻击 Web的 PDF Web电子邮件 web邮件
资源描述:
学术研究 Acade噼‰ges,eaJ吣.鲰 一种针对Web电子邮件的攻击方法研究 宋琦,施勇,薛质 (上海交通大学信息安全工程学院,上海200240) 【摘 要】随着互联网的发展和各种Web服务的普及,Web安全问题日益凸显。作为一种常见的Web服务,Web 电子邮件承担了互联网传输信息载体的重要作用,因此其安全性也越来越受到关注。文中首先研究了Phishing攻击 和跨站脚本攻击这两种目前主要的web客户端的攻击方法,并在此基础上提出了一种针对web电子邮件服务的攻击 方法,详细分析了该方法的实现原理,并将其与主要的Web客户端攻击方法做了比较,同时提出了针对该攻击方法 的防范措施。 【关键词l Web安全;Phishing攻击;跨站脚本;Web邮件;安全防范 【中图分类号】TP309 【文献标识码】A 【文章编号】1009—8054(2009)10—0099—03 Research on An Attack Method Aiming at Web Email SONG Qi,SHI Yong,XUE Zhi (Department of Information Security,Shanghai Jiaotong University,Shanghai 200240,China) [Abstract]With the development of internet and popularity of various Web services,Web security is becoming more and more important.As a usual Web service,Web mail plays an important role as carrier for transporting information in internet,and thus its secufity attracts more and more aRention.Based Off research of client-oriented Web attacking meth— ods such as phishing and XSS,this paper proposes a modified attacking method aiming at Web Email services.It also makes a detail analysis of its implementation,gives comparison of these methods and suggests some defending measures for avoiding this attacking method. [Keywords]Web security;phishing;XSS;Web email;security defense 0引言 1 常见的Web客户端攻击方法 随着网络技术和网络应用的飞速发展,互联网除了提 供普通的网页浏览功能外,在其他方面也承担着越来越重 要的角色。各种Web服务的出现,也催生了诸多的安全问 题。Phishing攻击、跨站脚本攻击已经成为危害最大的两 种Web客户端攻击手段,在此基础上产生的诸多攻击变种 也令人防不胜防。 这里从常见的Web客户端攻击方法的研究人手,提出 了一种针对Web电子邮件的攻击方法,并对该攻击的实现 做了详细阐述,进而提出了若干防范措施。 收稿日期:2000—04-23 作者简介:宋琦.1 985年生,男,硕士生,研究方向:网络 与信息安全;施勇.1079年生,男,博士生,研究方向:网 络与信息安全;薛质.1971年生,男,教授,研究方向:网 络与信息安全。 1.1 Phishing攻击 Phishingr【11攻击又称网络钓鱼,是一种常见的网络欺诈 行为。虽然Phishing攻击不是一种全新的计算机入侵方法, 但它的危害范围却随着互联网的发展而迅速扩大,成为非常 严重的网络威胁。对于这种网络威胁,反Phishing工作小组 (APWG)给出了如下定义:Phishing攻击是在线身份伪造的 欺诈方式,它使用社交工程和技术伎俩等手段来达到窃取受 害者敏感信息的目的。Phishing攻击者们通常利用各种隐蔽 的技术手段乜-3】,使受害者交出自己的机密信息。攻击者会伪 造一些网站并诱惑受害者根据指定方法操作,或者向受害者 发送电子邮件要求受害者按照其意图进行操作等。一般来说, Phishing攻击都有同样的流程【4】,如图1所示。 l:攻击者将具有欺骗性内容通过诸如电子邮件等载体 传递到受害者的计算机系统。 2—5:受害者读取载体,产生误解,并对欺骗做出反应, 信息安全与通信保密·2。。9.1。 99 万方数据 学术研究 ACademl c Resea rch 根据受害者的反应,计算机向恶意服务器发出请求,服务器 响应相应内容。 6—7:受害者根据提示输入机密信息。 8—9:受害者泄露机密信息,攻击者获得机密信息。 图l典砸的Phishing攻击流程 1.2跨站脚本 跨站脚本(Cross Site Scripting,Xss)D1是存在于动态 网站的一种攻击方法,是指攻击者利用网站程序对输入过滤 不足等漏洞,输入可以显示在页面上对其他用户造成影响的 HTML代码,从而实施盗取用户资料、对访问者进行病毒侵 害等行为的一种攻击方式。 跨站脚本攻击首先需要应用程序从用户端收集到恶意数 据,这些恶意数据往往是一些包含恶意代码的超链接。攻击 者通常还会在超链接中对恶意代码进行编码,诱骗用户去点 击这些看上去是正常的链接。当Web应用程序收集到恶意数 据之后,它会发送一个输出页面到用户端,这个页面看上去 是一个正常的网页,但是包含在超链接里的恶意代码其实已 经在用户端执行了。跨站脚本攻击依托于不同的跨站漏洞, 表现为不同的攻击方式。图2表示了一种结合跨站脚本和 Phishing攻击来获取用户机密信息的攻击流程。 3 联网 一 l 一 ● 2 、4、 S 合法 6 受謇 ●’f 服务嚣 7’≮ f恶意 玻击者受精 者计 脚本 算机 罂童站点 ●9 页面) 厩务器 \10 ll (1曲ishmB 12 站点) 、、~ 图2跨站Phishing攻击流程 l:攻击者在存在跨站漏洞的合法服务器上构造一个包 含恶意脚本的页面。 2攻击者页面的URL通过电子邮件等载体传递到受害 者的计算机系统。 3—6:受害者读取载体,点击URL,发出对包含恶意脚 本页面的请求,服务器返回请求。 2恶意脚本在用户浏览器端执行,这些恶意脚本可以直 接发送用户的cookie到攻击者或者通过脚本的延迟输出清空 当前页,并在浏览器上显示或者请求Phishing页面。 ’I 1 00 凹凹凹。cismag,④①圃D。④田 8-10:受害者在显示的Phishing页面输入机密信息。 ll:受害者泄露机密信息,攻击者获得机密信息。 12一13:攻击者将浏览器重定向到合法服务器的正常 页面。 2针对Web电子邮件的攻击方法 2.1攻击方法的实现 Web电子邮件是互联网上应用非常广泛的Web服务。 与其他整合在网页中的登录框不同,Web电子邮件通常是 通过一个登录页面实现对用户的身份验证。此外,由于 Web电子邮件的登录页面并不经常改变,因此,攻击者只 需修改这个页面便能实现对用户的欺骗,从而达到获取用 户信息的目的。 一般来说,用户通过登录页而输入的账号、密码等信息都 是通过网页上的登录框控件存放在一个用户信息表单中,用户 在按下“登录”按钮登录时,页面的脚本实现了用户信息的验 证及表单的提交。因此,有效的方法就是修改这些脚本代码。 具体来说,在脚本正常地提交用户信息表单之前可以先将用户 信息表单拷贝提交到攻击者的服务器。这样不仅能实现对用户 信息的窃取,还能让用户毫无察觉地正常登录w曲电子邮件 服务器。由于邮件服务商或者浏览器的差异,会出现脚本对同 —表单无法实现连续提交的情况。一种解决方法是在登录页面 中新建一个只包含隐藏域的隐藏表单来存放用户信息的拷贝, 并在攻击时先对该隐藏表单实现提交。以雅虎邮箱为例,首先 在页面中添加如下HTML代码新建隐藏表单: 隐藏表单(secretfom)有两个元素,分别是用于存放用户 信息的隐藏域和隐藏的表单提交按钮。在用户输入个人信息 登录的时候,激活了用户信息表单(109inform)中提交按钮的 onclick=“postFormO”事件。postFormO函数将用户信息表 单中用户名和密码取出,并赋值给隐藏表单的隐藏域,然后 调用隐藏表单的submit()方法将隐藏表单提交到攻击者服务 器httll.//w唧.XX.corn/,最后调用用户信息表单的sub— mitO方法完成用户信息表单的提交。以下是利用JavaScript 脚本对postForm0函数的实现: function postFormO{ var login=document.getElementById(‘’emaninput”).value;/ /取出用户名。 var pwd=document.getElementById(’‘passinput‘’).value; / /取出密码。 万方数据 vat secret=login+”@yahoo.corn。cn l”+pwd; document.getElementByld(“secret“).value=secret;//髓甩户 馈患赋德给疆藏表攀貉藏域。 document.getElementById(.secretform”).submit();//搬窝隐藏 表单。 WaitTime(3,5≥//自定义撩时蠡敷,延避3 s,5 s超对。保征 隐藏袁攀能成秘挺交. document.getElementByld(“loginform“).submit();,}//掇受用户 倍息表攀。 翻3是整个骏滏的流程鬻。 鬣联罔 ●‘ l\● 3 ‘、、 攻击膏 —6 l一 罂童 做击者—' 受掌者 、_、 受掌者 。、、 曼秉页 ’ 服务器) 计算机 0 ~ —’———~ 10 一t2 —麓—一 、‘一 台法邮件\● 14 13 —— 般备蒜 鬻3锋瓣Web毫乒郏终静玫藏漉程 t攻击者将悲意登录页丽通过诸如电子邮件等载体传 递到受害者的计算机系统。 2-2受害老谈取载俸,产生误簿,静X雩欺骗散密凝应, 根据溅害者的反艨,计算机向恶意服务器请求登录,服务 器响成相应内容。 6-8:受害纛缀据提示输入撬密蕹爨。 9:恶意登录掰中的脚本代码先将用户信息表单POST 到攻搬者服务器。 l 0:瑟意爨象荑孛鹃滕拳我褥孬将蠲产薅纛凌攀 PoST潮台法邮件服务器完成用户登录。 ll一1雄登录邮箱成功,用户可以正常地和邮件服务器 完残务种交互。煞今过程,臻产几乎感徽苓蘩舅常。 2.2攻击方法的评价与比较 糊比于一般的Web客户端攻击,这种攻击的最大优点 就是缀终了矮户譬合法羧务器的透信。鞭兹,对予受害者 来说,在遭受攻击的过程中几乎感觉不刘异常。此外,由 于整个攻击只需一个恶意登聚赢面,相比往往需要伪造整 令鄹炼的Phishing攻击来说。霉要完成的工作藿癸,l、缮 多。而且,相比予需要依靠踌站漏漏才熊完成的跨站脚本 攻击张说,这种攻击方{去更具有普适性。事实上,选种攻 击方法霹以看作怒Phishing攻击懿一释改进,在其基础 上,有效地维持了糟户和合法服务器的通信。攻击畿如果 将它岛其他的攻击方法(如跨站攻击或者DNS欺骗等)结合, 能够获褥更好的攻击效果。 学术研究 Acade孵鼍冀Researc趣 目前,越来越多的Web电子邮件服务开始使用安全的 HrrPs协议。HTTPs技术通过加磷的通信传输,可以有效 防瞧会话劫持筹攻击手段。然薅,对予上述这种攻老方法,由 予整个攻击避程中客户端与攻击者服务器的H酣限交互和客 p端与合法服务器的HrFPS交互两者相互独立,且HTTPS 交互在时闯上更靠后,翻此,使用HTTPS的Web瞧子童§件 服务也无法从根本上避免这种攻击。作为普通用户来说,如 聚忽视HrI’PS网站浏览器地址栏上的安全图标,也有可能 成为这种_攻蠹的受害者。 当然,这种攻击方法瞧宥一定的硒瞪只麓针Web电 予邮件一类的依靠即时性不强的登录页面来实现用户身份验 证的Web服务。对于内嵌在即时性较强的网页的Web登录 糕,翔门户阏站主页上酶翳录框,考虑到维持这髓帮时性内 裙所花费的开销,这种攻击方法就不稃合适了。 5攻击方法的防范 现今的Web客户端攻击方法逐渐增多,没有一种万能的 方法可以抵抗所有的攻鸯。所以,结佘使用现有的各种信息 安全技术,_来防范各种Web客户蠛攻蠢方法是{≥辩切合实际 的。而对于上述的攻击方法,由于它姆Phishing攻击的相似 性,因此也W以参考Phishing的防范体系16】,从客户端,服 务器壤和缓缀级3令方蘸入手。 客户端燕要包括了用户和浏览器。对于用户来说。最重 受的一点就是提高警惕,加强自我保护和安全防范意识。首 毙,必矮绘毫貔安装防灾壤,防癍毒软绛,绘系统数努蛰丁, 做好网络安全防范措施。此外,针对电子邮件等俯患载体,要 提高警惕,确保信息源的W靠性,不可轻信不明来路的信息。 褥次,铮瓣漤瓷器的搡俸,霉产在登激露要亲鑫羧入著且核 对网址;而对于HTTPS协议的登录鬣面,用户逐应注意核 实地址栏的协议名称。 骚务器壤静防葱圭簧涉及到web簇努程互联瓣系统,霆 此,防范的熏点在于对具体的web安全应用要掇高Web服 务的安全性。例如,在用户髓录框使用安全控件代替普通的 豢录控转《支键宝等),霹l麸防疰攻壹枣JavaScript嬲本对密码 椴值的非法访问。另外,研以在用户端提交的表帮中加入登 渌页面的校验,来防止第三方对HTML页面的非法篡改。一 题潮菇(Hotmail等)还逶避JavaScript瓣零封装HTML茭蘧 的实现。并在粥户访闻页黼的时候将JavaScript以文件的形 式存入浏览器的临时文件爽等方法来提高页面代码的安全强 度,寿效地避免了页嚣戌容被攻击者较易篡改。 组织缀怒指在保护客户端和服务器端的基础上,对攻击 (下转筹104页) 信息安全与通信保密·2。。9.1。|1 01 万方数据 学术研究 Ac秘cleml c Re、sea广ch 等级值R—LELU:由RUk的值,焱《单一可能性和损失弓l发 的最险等级愆分表》褥R—LELij, ④鬃复步骤①一@得到资产Ak在其他所有威胁作用下 的风险值尺m,l双m,一棼i,/)及风险等级值R-LELmnk; 险评估工作提供了方便的操作平台,能有效缩短风险详估和 等级保护测评王佟串静数据统诗、计算簸瑾,掇表爱壤告垒 成等环节的工作周期,使评估结果更具有客观性和准确性。 ◇黧复步骤囝,褥翻英稳耱寡资产静筑险僮Rmnk'(O 参考文献 m所有威胁总数,0《,l所有脆弱性总数,j}’≠劝及霹一 【1】正英梅,置脓开,陈国顺,等。信息安全风险评估fM】. LELmnk'(1R—LELmnk‘5,0《m所有威胁总数,0《 jl:京:电子工业出版社,2007. 稳掰鸯脆弱往惑数,毒‘簪动。 【2】至勇,李赠,郭红。豢予菇险评傣静涉密嚣终嶷全缍 系研究探讨【J】.信息安众与通信保密,2008(1 l l 84-4结谱 。。oo. 文孛系统在鼹捧义院圭的撂露下,设诗嶷瑰了僖惑蜜垒 【3】嚣缓弘,餐惑系统最陵谬镱实践溺。痿意安全岛遥售僚 风险评估和信息安全镣级保护评估的自动分析与处理,为风 锯,2008(08)155—157.‘巨 (上接第98页) 州学院学报,2008,24(02)142-144. 【5】更静,募震,SSL孛阚久攻滚覆理与防藏【眭信息安全 与通信保密,2007(04)103-105. 【6】6刘刃,丁金扣.SSL协议中间人攻击实现岛防范【D】.北 京:繇衰邮电大学,2008. 【7】Henrywhz.中匿鼷行的动态翻令牌是什么原疆DB/oL】. (2008—07—24)【2009一04—0 1].http://blog.tom.corn/ henrywhz/article/1 l 56。html. 【8】Dubin J.Are One-time Password Tokens Susceptible to Man—in—the-middle Attacks[DB/OL].(2007一06— 29)[2009—04一01].http//searchsecurity.techtarget. com/expert/KnowledgebaseAnswer/0,289625, sidl4_gcil265056,00.html. 【91黢峰.OTP能否锁牢网锻帐户【n中国金融电脑,2008 (08≥32-34. 【lo】数字证书的存储和USBKey的安全能[DB/OL].【2009- 04—0 l】.http://www.cfca.com.cn/zhishi/wz一 005。htm。 【1 l】数字签名和晗希丞数[DB/OL]。【2009-04-01].http:// wWW.cfca.com.cn/zhJshi/wz-002.htm.落 (上接第101页) 方法的深度防御枕裁。主要包括了蠢动的邮佟发送地址确认、 电子由§襻数字签名、域名蓝测、潮菇甄男l等披术的整合。 4结语 随麓Web技术鞠应用的发液,以及各秭薪的Web攻 击的出现,Web安全问题和如何防范这些Web攻击越来越 受到重视。文中分析丁一种针对Web电子邮件的攻击方法 并提出了若干防范按施。然焉,隧着授术的浚速发展,Web 攻击必然会出现新的方式,防范和检测Web攻击的新技 术、新方法也会出现,因此,一定还存在来考虑到的地方。 但逶遵义审的阐述,对Web攻裔方猿提爨了一静薪的思 路,也对如何防范新的Web攻击提出了思考。 参考文献 【1】Anti—Phishing Working Group.Proposed Solutions 1。4|煳晒凹。c;smago@①咖。④m to Address the Threat of嘲题l。。融塔Sc醐斓粥/哩l。 (2003-12-01)[2008-04-01].http//www.antiphishing. org/Proposed%20Solutions%20to%20Address% 20the%20Threat%200f%20Email缮20Spoofing% 20Scams%20Whit留A20Paper。pdf. 【2】梁雪松.基予浏览器的钓锺网站检测技术研究【J】.信息 安全与通信保密,2007(1 l≥53-55。 【3】灞松寒.钩皴防裤按本的商堑应蔫网.信息安垒萄透信 保密,2008(07}48—50. f4】方杰。Web攻击研究【D】.南京:鬻索大学,2005。 【5】Kevin Spett。Cross—Site Scripting,Are Your w曲 Application Vulnerable[M].【s.1.1 SPI Dynamics, Inc,2002. 【6】张祷,李捧华。PhishJng攻击孪亍受及菸醅餐模鳖研究阻 计算机工程,2006,32(14)125-126.‘蹬 万方数据
展开阅读全文
  皮皮文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:一种针对web电子邮件的攻击方法研究.pdf
链接地址:http://www.ppdoc.com/p-10914191.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

copyright@ 2008-2018 皮皮文库网站版权所有
经营许可证编号:京ICP备12026657号-3 

收起
展开