Webmail攻防实战

核心提示： 四、恶性HTML邮件电子邮件有两种格式：纯文本（txt）和超文本（html），Html邮件由html语言写成，Webmail攻防实战(6)，当通过支持html的邮件客户端或以浏览器登录进入WebMail查看时，有字体、颜色、链接、图像、声音等等，对此应该不会陌生，下面是两个简单的恶性脚本程

四、恶性HTML邮件

电子邮件有两种格式：纯文本（txt）和超文本（html）。Html邮件由html语言写成，当通过支持html的邮件客户端或以浏览器登录进入WebMail查看时，有字体、颜色、链接、图像、声音等等，给人以深刻的印象，许多垃圾广告就是以html邮件格式发送的。

利用html邮件，攻击者能进行电子邮件欺骗，甚至欺骗用户更改自己的邮箱密码。例如攻击者通过分析WebMail密码修改页面的各表单元素，设计一个隐含有同样表单的html页面，预先给“新密码”表单元素赋值，然后以html邮件发送给用户，欺骗用户说在页面中提交某个表单或点击某个链接就能打开一个精彩网页，用户照做后，在打开“精彩网页”的同时，一个修改邮箱密码的表单请求已经发向WebMail系统，而这一切，用户完全不知情，直到下次不能登录进自己邮箱的时候。

为了防止此类的html邮件欺骗，在修改邮箱配置时，特别是修改邮箱密码和提示问题时，WebMail系统有必要让用户输入旧密码加以确认，这样也能有效防止载取到当前WebMail会话的攻击者（下面会介绍）更改邮箱密码。

通过在html邮件中嵌入恶性脚本程序，攻击者还能进行很多破坏攻击，如修改注册表、非法操作文件、格式化硬盘、耗尽系统资源、修改“开始”菜单等，甚至能删除和发送用户的邮件、访问用户的地址簿、修改邮箱帐户密码等等。恶性脚本程序一般由JavaScript或VBScript脚本语言写成，内嵌在html语言中，通过调用ActiveX控件或者结合WSH来达到破坏攻击目的。深受修改浏览器的恶性html页面之痛，饱经“欢乐时光”邮件病毒之苦的朋友，对此应该不会陌生。下面是两个简单的恶性脚本程序：

1、打开无数个浏览器窗口，直至CPU超负荷，非关机不可：