Webmail攻防实战

核心提示： 第一步：输入帐户：在进入密码恢复页面后首先提示用户输入要恢复密码的邮箱帐户，这一步对攻击者而言自然不成问题，Webmail攻防实战(4)，邮箱帐户就是他要攻击的目标，第二步：输入生日：提示用户按年月日输入自己的生日，则能在丝毫不惊动用户的情况下使用用户的邮箱，使得攻击者能长期监视用户的邮箱

第一步：输入帐户：在进入密码恢复页面后首先提示用户输入要恢复密码的邮箱帐户。这一步对攻击者而言自然不成问题，邮箱帐户就是他要攻击的目标。

第二步：输入生日：提示用户按年月日输入自己的生日。这一步对攻击者而言也很轻松，年月日的排列组合很小，借助溯雪等工具很快就能穷举破解出来，所以WebMail系统有必要在此采取暴力破解防范措施。并且每个用户需要注意的是，攻击者不一定来自地球的另一端，很可能就是你身边的人，或许这些人更想知道你邮箱里有什么秘密，而他们要弄清你的生日往往是件轻而易举的事情，你不是昨天才过了生日party吗？你不是刚刚把身份证复印件交给人事部吗？所以，为了邮箱安全，用户是不是要把真实的生日做为邮箱注册信息，WebMail系统是不是一定要用户输入真实的生日做为注册信息，这还有待考虑。

第三步：问题回答：提示用户回答自己设定的问题，答案也是用户自己设定的答案。在这一步，攻击者往往只有靠猜测，不幸的是，很多用户的问题和答案是如此的简单，以致于攻击者能轻易的猜测出来，例如提出的问题只是知识性的问题、提出的问题和答案相同等。攻击者对用户越熟悉，成功的可能性就越大，例如有用户问“你男朋友是哪里人”，殊不知，攻击者正是她的男朋友。所以，用户把问题设置成唯有自己知道的答案至关重要，这样攻击者才很难得逞，不过不要忘了答案，否则就得不偿失了。

在用户正确完成以上各步骤以后，WebMail系统就会让用户恢复自己邮箱帐户的密码。密码恢复的方式又各有不同，一般有如下几种方式，安全程度各有不同：

1、页面返回：返回的页面里显示用户的邮箱密码。这样故然方便省事，但是如果让攻击者得到密码，则能在丝毫不惊动用户的情况下使用用户的邮箱，使得攻击者能长期监视用户的邮箱使用情况，给用户带来更大的安全隐患。