近日,一则南大软件学院学生入侵教务邮箱搜考卷并公布入侵过程的事件广泛引起各界对邮箱安全问题的关注。南京大学软件学院大三学生刘靖康在人人网上图文并茂地展示了他如何通过入侵学校邮箱系统来获得考卷的帖子,并说道很多高校的邮箱系统都有这样的漏洞,欢迎其他同学们去实践和验证,该帖子在网上疯狂转发。
邮件系统专家:高校信息安全意识薄弱 系统存在漏洞
"此次学生能够成功入侵教务邮箱最主要的问题还是南大软件学院邮件系统本身存在系统安全上的漏洞。"
此次刘靖康同学的入侵过程。首先,刘靖康同学先给教务邮箱发送了一封带表情图标的邮件,并在此表情图标地址中植入恶意脚本。当教师打开此邮件时即触发恶意脚本将老师在看信时产生的cookie发送到指定的邮箱,刘同学拿到cookie后马上通过自己的电脑把cookie还原成登陆 URL,从而成功进入老师的邮箱。
在对此次入侵事件进行剖析时发现南京大学软件学院邮件系统安全漏洞主要有如下两方面:
1.打开邮件时系统没有执行脚本过滤。
此次入侵在于南京大学软件学院的邮件系统缺乏基本的脚本攻击防范,学生只需在邮件中使用一个图片加上onload属性的脚本就轻易的获取了教师的cookie信息。此邮件系统连onload 都能注入脚本,这样低级的防范都没有过滤,被入侵是不可避免。
2.Cookie的登录检验机制太过简单
刘同学拿到老师的cookie后,即可通过自己的电脑进行登录,系统完全没有进行校验,比如增加简单的IP检查,如果系统支持该机制,就算学生拿到cookie,也会因为IP不同而无法登陆。
关于此类邮箱安全漏洞的防范
针对此类邮箱安全漏洞防范,当务之急是该校邮箱用户使用客户端软件来进行邮件的收发,如Outlook、Foxmail、闪电邮等,可屏蔽此类安全风险。但是Web网页邮箱的便利性和多功能是邮件客户端所不可替代的,应尽快通知相应的邮件系统厂商对漏洞进行修复。据推算,目前国内超过半数高校的邮件系统存在此类安全漏洞。