Cookie會話跟蹤除了上面提到的安全缺陷外,還存在如下缺點: (1) 并不是每個瀏覽器都支持cookie�����,有些用戶為了防止泄露隱私以及從安全性上考慮���,可能會禁用瀏覽器的cookie�����。
(2) 由于功能限制或者設置有誤,代理服務器不能夠代理cookie�,導致通過代理服務器上網的用戶不能登錄進入以cookie進行會話跟蹤的WebMail���。
六���、URL會話攻擊
一些WebMail系統膽敢在客戶端不支持cookie時拒絕提供WebMail服務����,如新浪�、搜狐等WebMail系統,而另一些WebMail系統則視用戶為上帝�,使用URL會話跟蹤技術來維護與客戶端交互的狀態���,如163.net����、263.net����、21cn.com等。
URL會話跟蹤是把一些標識會話的字符串加在URL里面���,對于客戶端的每一個http連接請求,服務端都會把URL里的會話標識和它所保存的會話數據關聯起來����,從而能夠區分不同的客戶端,以及進行用戶會話跟蹤�����。下面是在瀏覽器的地址欄里看到的一些WebMail的URL�,看起來會很長甚至有些怪:
http://bjweb.163.net/cgi/ldapapp?funcid=main&sid=HAPGfUDusCLAQSIm
http://WebMail.21cn.com/extend/gb/std/username/
NV0416qxMftyKnOcavGDktOmIEvPsb/SignOn.gen
在關閉瀏覽器后,保存在服務器里的會話關聯數據并不會立即失效��,一段時間內WebMail的URL仍然有效�,他人只要從瀏覽器的歷史記錄里找到該URL,就可以點擊進入用戶的WebMail�,并不需要任何密碼驗證�,所以用戶在退出WebMail時����,不應該直接關閉瀏覽器,應該點擊WebMail上的“退出”來退出,這樣才會清空會話,使WebMail的URL失效�,那些在網吧等公共場所上網的用戶尤其要注意這一點��。
如果攻擊者知道WebMail系統的URL會話機制,能猜到WebMail的會話標識,那么就能找到WebMail的URL��,在瀏覽器地址欄里輸入相同的URL就能輕易地進入用戶的WebMail�,所以WebMail系統應該使用較長的、隨機的字符串做為會話標識����,使攻擊者難以猜測����。
不過�,即使WebMail系統的URL會話機制再復雜、會話標識再長�����,對攻擊者而言�����,要想獲得用戶WebMail的URL,往往就像探囊取物一般容易。
JavaScript程序中的window.location�����、location.href、document.URL、document.location����、document.referrer等對象屬性都可以用來獲取WebMail的URL���,攻擊者只要在html郵件中放入一段腳本代碼就可以獲取URL�,并且能偷偷地發送給攻擊者���,類似的代碼可以參考“cookie會話攻擊”一節里的一段演示程序��。
Http協議(RFC2616)里規定http請求頭域“referer”用于指明鏈接的出處��,即指明來自客戶端的這個連接請求是從哪個URI地址提交過來的,例如用戶點擊頁面上的某個鏈接地址后����,發出的referer域的內容就是當前頁面的URI地址��。CGI編程中的環境變量“HTTP_REFERER”用于獲取http請求頭域“referer”,下面是一個在Linux下用shell寫的CGI程序:
#!/bin/sh
#set -f
echo Content-type: text/plain
echo
#寫入日志��,geturl.log文件權限要可寫
echo "`date` $REMOTE_ADDR $HTTP_REFERER" >> /var/log/geturl.log
#即時通知攻擊者
wall "`date` 收到WebMail url�����,請檢查日志"
#返回給客戶端的信息����,用于迷惑用戶
echo "你好����!"
攻擊者把這個CGI程序放在自己的Web服務器上��,然后把該CGI程序的URL地址以單獨一行放在txt郵件里發給用戶��,URL地址會自動變成鏈接地址,受到欺騙的用戶點擊后�����,攻擊者就獲得了用戶WebMail的URL�����。當然攻擊者也可以把CGI程序的URL地址放在html郵件里做為鏈接地址讓用戶來點擊���,或者就用腳本程序或框架技術使這個CGI程序自動運行����,或者干脆把這個CGI程序的URL地址放在html郵件源代碼img元素的src屬性值�,雖然顯現不出圖片,但這個CGI程序照樣會收到http連接請求����,從而獲得WebMail的URL����。
Web服務器的日志記錄也能獲取referer域的內容�����,以apache為例,在httpd.conf文件中修改或加入如下配置參數:
LogFormat "%t %h %{Referer}i -> %U" referer
CustomLog /usr/local/apache/logs/referer_log referer
這樣對web服務器的每一個http連接請求的referer域的內容都會寫到referer_log日志文件里去�����,攻擊者只要分析日志文件就能夠知道用戶WebMail的URL了���。WebMail系統如果支持html郵件的話��,總不可能會禁止html郵件中使用圖像��,攻擊者在發給用戶的html郵件中放入一張src地址在自己Web服務器上的圖片,也就能輕易地獲取WebMail的URL��。
這樣一來,深懷惡意的攻擊者花點小錢去做郵件服務商提供的WebMail旗幟廣告���,廣告的圖片則是放在攻擊者的Web服務器上,那么攻擊者就能每天坐收成千上萬用戶的WebMail了
