Cookie會話跟蹤除了上面提到的安全缺陷外��,還存在如下缺點: (1) 并不是每個瀏覽器都支持cookie��,有些用戶為了防止泄露隱私以及從安全性上考慮��,可能會禁用瀏覽器的cookie��。
(2) 由于功能限制或者設置有誤��,代理服務器不能夠代理cookie��,導致通過代理服務器上網的用戶不能登錄進入以cookie進行會話跟蹤的WebMail��。
六��、URL會話攻擊
一些WebMail系統膽敢在客戶端不支持cookie時拒絕提供WebMail服務��,如新浪��、搜狐等WebMail系統��,而另一些WebMail系統則視用戶為上帝��,使用URL會話跟蹤技術來維護與客戶端交互的狀態��,如163.net��、263.net��、21cn.com等��。
URL會話跟蹤是把一些標識會話的字符串加在URL里面��,對于客戶端的每一個http連接請求��,服務端都會把URL里的會話標識和它所保存的會話數據關聯起來��,從而能夠區分不同的客戶端��,以及進行用戶會話跟蹤��。下面是在瀏覽器的地址欄里看到的一些WebMail的URL��,看起來會很長甚至有些怪:
http://bjweb.163.net/cgi/ldapapp?funcid=main&sid=HAPGfUDusCLAQSIm
http://WebMail.21cn.com/extend/gb/std/username/
NV0416qxMftyKnOcavGDktOmIEvPsb/SignOn.gen
在關閉瀏覽器后��,保存在服務器里的會話關聯數據并不會立即失效��,一段時間內WebMail的URL仍然有效��,他人只要從瀏覽器的歷史記錄里找到該URL��,就可以點擊進入用戶的WebMail��,并不需要任何密碼驗證��,所以用戶在退出WebMail時��,不應該直接關閉瀏覽器��,應該點擊WebMail上的“退出”來退出��,這樣才會清空會話��,使WebMail的URL失效��,那些在網吧等公共場所上網的用戶尤其要注意這一點��。
如果攻擊者知道WebMail系統的URL會話機制��,能猜到WebMail的會話標識��,那么就能找到WebMail的URL��,在瀏覽器地址欄里輸入相同的URL就能輕易地進入用戶的WebMail,所以WebMail系統應該使用較長的��、隨機的字符串做為會話標識��,使攻擊者難以猜測��。
不過��,即使WebMail系統的URL會話機制再復雜��、會話標識再長��,對攻擊者而言��,要想獲得用戶WebMail的URL��,往往就像探囊取物一般容易��。
JavaScript程序中的window.location��、location.href��、document.URL��、document.location��、document.referrer等對象屬性都可以用來獲取WebMail的URL��,攻擊者只要在html郵件中放入一段腳本代碼就可以獲取URL��,并且能偷偷地發送給攻擊者��,類似的代碼可以參考“cookie會話攻擊”一節里的一段演示程序��。
Http協議(RFC2616)里規定http請求頭域“referer”用于指明鏈接的出處��,即指明來自客戶端的這個連接請求是從哪個URI地址提交過來的��,例如用戶點擊頁面上的某個鏈接地址后��,發出的referer域的內容就是當前頁面的URI地址��。CGI編程中的環境變量“HTTP_REFERER”用于獲取http請求頭域“referer”��,下面是一個在Linux下用shell寫的CGI程序:
#!/bin/sh
#set -f
echo Content-type: text/plain
echo
#寫入日志��,geturl.log文件權限要可寫
echo "`date` $REMOTE_ADDR $HTTP_REFERER" >> /var/log/geturl.log
#即時通知攻擊者
wall "`date` 收到WebMail url��,請檢查日志"
#返回給客戶端的信息��,用于迷惑用戶
echo "你好��!"
攻擊者把這個CGI程序放在自己的Web服務器上,然后把該CGI程序的URL地址以單獨一行放在txt郵件里發給用戶��,URL地址會自動變成鏈接地址��,受到欺騙的用戶點擊后��,攻擊者就獲得了用戶WebMail的URL��。當然攻擊者也可以把CGI程序的URL地址放在html郵件里做為鏈接地址讓用戶來點擊��,或者就用腳本程序或框架技術使這個CGI程序自動運行��,或者干脆把這個CGI程序的URL地址放在html郵件源代碼img元素的src屬性值��,雖然顯現不出圖片��,但這個CGI程序照樣會收到http連接請求��,從而獲得WebMail的URL��。
Web服務器的日志記錄也能獲取referer域的內容��,以apache為例��,在httpd.conf文件中修改或加入如下配置參數:
LogFormat "%t %h %{Referer}i -> %U" referer
CustomLog /usr/local/apache/logs/referer_log referer
這樣對web服務器的每一個http連接請求的referer域的內容都會寫到referer_log日志文件里去��,攻擊者只要分析日志文件就能夠知道用戶WebMail的URL了��。WebMail系統如果支持html郵件的話��,總不可能會禁止html郵件中使用圖像��,攻擊者在發給用戶的html郵件中放入一張src地址在自己Web服務器上的圖片��,也就能輕易地獲取WebMail的URL��。
這樣一來��,深懷惡意的攻擊者花點小錢去做郵件服務商提供的WebMail旗幟廣告��,廣告的圖片則是放在攻擊者的Web服務器上��,那么攻擊者就能每天坐收成千上萬用戶的WebMail了
