Webmail攻防实战

核心提示： 2、禁止IP地址：把进行暴力破解的IP地址禁止一段时间不能使用WebMail，这虽然在一定程度上解决了“禁用帐户”带来的问题，Webmail攻防实战(3)，但更大的问题是，这势必导致在网吧、公司、学校甚至一些城域网内共用同一IP地址访问internet的用户不能使用

2、禁止IP地址：把进行暴力破解的IP地址禁止一段时间不能使用WebMail。这虽然在一定程度上解决了“禁用帐户”带来的问题，但更大的问题是，这势必导致在网吧、公司、学校甚至一些城域网内共用同一IP地址访问internet的用户不能使用该WebMail。如果攻击者采用多个代理地址轮循攻击，甚至采用分布式的破解攻击，那么“禁止IP地址”就难以防范了。

3、登录检验：这种防范措施一般与上面两种防范措施结合起来使用，在禁止不能登录的同时，返回给客户端的页面中包含一个随机产生的检验字符串，只有用户在相应的输入框里正确输入了该字符串才能进行登录，这样就能有效避免上面两种防范措施带来的负面影响。不过，攻击者依然有可乘之机，通过开发出相应的工具提取返回页面中的检验字符串，再将此检验字符串做为表单元素值提交，那么又可以形成有效的WebMail暴力破解了。如果检验字符串是包含在图片中，而图片的文件名又随机产生，那么攻击者就很难开发出相应的工具进行暴力破解，在这一点上，yahoo电邮就是一个非常出色的例子。

虽然WebMail的暴力破解有诸多的防范措施，但它还是很难被完全避免，如果WebMail系统把一分钟内五次错误的登录当成是暴力破解，那么攻击者就会在一分钟内只进行四次登录尝试。所以，防范WebMail暴力破解还主要靠用户自己采取良好的密码策略，如密码足够复杂、不与其他密码相同、密码定期更改等，这样，攻击者很难暴力破解成功。

三、邮箱密码恢复

难免会有用户遗失邮箱密码的情况，为了让用户能找回密码继续使用自己的邮箱，大多数WebMail系统都会向用户提供邮箱密码恢复机制，让用户回答一系列问题，如果答案都正确的话，就会让用户恢复自己邮箱的密码。但是，如果密码恢复机制不够合理和安全，就会给攻击者加以利用，轻松获取他人邮箱密码。 　　下面是许多WebMail系统密码恢复机制所采取的密码恢复步骤，只有用户对每步提出的问题回答正确的话才会进入下一步，否则返回出错页面，针对每一步，攻击者都有可乘之机：