歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
法蘭克福新時代傳媒有限公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
網軍再度利用XSS漏洞 搜括Web mail帳密
2009 / 07 / 13
張維君
許多網頁電子郵件管理者仍然輕忽跨站指令碼漏洞問題,單位內Webmail使用者帳號、密碼完全曝光。
本刊去年11月號(58期)專家開講文章「電子郵件密碼修改無效」曾揭露許多Web mail存有跨站指令碼漏洞(XSS),駭客可竊取使用者信箱帳號密碼及暗中同步收信的問題。事實上,據了解此一事件並非單純少數個案,全台灣許多單位內網頁電子郵件信箱的使用者帳號、密碼資料已被中國網軍設下的陷阱給大舉網羅,而相關單位卻渾然未覺。
與詐術合而為一的攻擊手法
熟悉網路攻擊手法的讀者對於XSS攻擊應該不陌生,早在2~3年前駭客就開始利用XSS弱點寄發各種郵件誘騙使用者。也因此,大家開始對使用者宣導不要點選來路不明的郵件、不要隨意開啟附件、點擊網址連結等。但從這一波被網軍竊走的Web mail帳密來看,雖然仍舊是利用XSS弱點,但用來包裝的卻是看似一切正常的郵件,且寄件者並非來路不明,而是你所認識的人。
這波攻擊之所以令人難以招架的原因在於,駭客將含有惡意程式碼的一段Javascript內嵌在惡意郵件當中,只要使用者一開啟該封郵件,惡意程式就立即將使用者的cookie資料傳送回對岸駭客手中。無論所使用的郵件系統之cookie是否有加密,駭客會利用不同郵件系統的特性,特別針對該系統改寫攻擊程式,因此即便是不同之系統,不同公司banner,駭客依然能夠有效地獲取用戶資料。據了解,近2個月來,已有許多知名單位Web mail信箱帳密已淪陷,包括中○電信內部員工信箱、民○黨Web mail系統在內。更誇張的是,信箱內轉寄功能被暗中設定,所有郵件被駭客同步接收的也不在少數。
這類郵件外觀主旨大多是簡單的「您好」,甚至只是「﹒﹒」(點點),其餘內文均留下空白。也有開啟郵件後另外跳出系統登入畫面,要求輸入帳號密碼的詐騙郵件,但無論何種外觀,其背後均埋伏著惡意程式。
整起事件歸咎原因,XSS漏洞並非刁鑽難解,而是許多系統管理人員對此問題太疏忽大意。維護郵件系統正常收發信固然是首要之務,但默默進行的帳號竊取影響更為深遠。在非必要的情形下,沒有系統管理者想去安裝修補程式或變更系統設定,畢竟郵件系統對整個組織、企業來說至關重要,安裝修補程式後若影響收發信,資訊人員壓力就大了。但這回茲事體大,所有Web mail系統管理者不應輕視此問題,不論是使用開放原始碼工具自行開發郵件系統的管理人員,或是使用商用Web mail產品的單位。
網擎資訊研發副總經理翁嘉頎表示,針對此類攻擊事件的處理方式,過去3年內曾進行過2次主動電話通知客戶並協助修補此漏洞,也會去整個掃描使用Web mail產品客戶的IP位址,來檢查客戶端是否更新。但不排除有部分未續簽維護合約的客戶仍未修補漏洞,可能遭到帳密外洩問題。網擎強調,不論客戶是否簽維護合約,對於所有仍在維護中的產品都會提供客戶修補程式,除非該客戶所使用的產品版本已超過產品維護週期,以網擎來說約3年。至於過去產品中Javacript功能為強制支援,在其2008年發行的Web mail產品版本中已可讓使用者自行設定是否執行Javascript。
瀏覽器不執行Javascript 完整端點防護
針對這次的攻擊情形,除了系統管理者需修補掉Web mail系統上的漏洞之外,資安專家建議使用者端最好也能在瀏覽器設定上選擇不執行Javascript,雖然畫面呈現較不美觀且可能造成使用者操作上較為不便,但就安全性而言,會是比較一勞永逸的作法。
此外,賽門鐵克資深技術顧問莊添發表示,光靠防毒軟體其實無法攔截XSS的攻擊,因為防毒軟體主要是做檔案的掃描,企業應透過內含防火牆、主機型入侵防禦系統(HIPS)等功能在內的端點安全防護方案才能有效抵擋此類攻擊,就算惡意程式要將cookie資料往外送也會被防火牆及時阻擋下來。
XSS
Javascript
防火牆
最新活動
2021.03.09
第20屆 亞太資訊安全論壇暨展會
2021.03.11
Fortinet ACCELERATE 2021-線上網路大會
2021.03.18
後疫情時代|資安策略的轉變與資安治理的價值
2021.04.21
物聯網資安跨界聯防應用專區@Secutech 2021
看更多活動
大家都在看
最新 Sunburst 目標式攻擊分析
美國聯邦密碼模組安全標準FIPS 140-3,防止機敏資料外洩
紅帽: 2021數位轉型策略需思考五大關鍵趨勢,資安是要素之一
雲端為王:2021年需關注的9種軟體安全趨勢
[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?
資安人科技網
文章推薦
Palo Alto Networks推出雲端交付平台Prisma Access 2.0確保遠距工作安全
微軟與鴻海啟動三大合作 攜手定向「智」造新未來
VMware 修復 vCenter 嚴重漏洞,可導致駭客遠端執行任意程式碼