高校安全意识薄弱邮件系统存漏洞 |
| 来源:email100.com 时间:2012-12-31 |
| 近日,一则南大软件学院学生入侵教务邮箱搜考卷并公布入侵过程的事件广泛引起各界对邮箱安全问题的关注。南京大学软件学院大三学生刘靖康在人人网上图文并茂地展示了他如何通过入侵学校邮箱系统来获得考卷的帖子,并说道很多高校的邮箱系统都有这样的漏洞,欢迎其他同学们去实践和验证,该帖子在网上疯狂转发。
邮件系统专家:高校信息安全意识薄弱 系统存在漏洞
"此次学生能够成功入侵教务邮箱最主要的问题还是南大软件学院邮件系统本身存在系统安全上的漏洞。" 盈世Coremail产品技术总监龚嘉说道。
龚嘉分析了此次刘靖康同学的入侵过程。首先,刘靖康同学先给教务邮箱发送了一封带表情图标的邮件,并在此表情图标地址中植入恶意脚本。当教师打开此邮件时即触发恶意脚本将老师在看信时产生的cookie发送到指定的邮箱,刘同学拿到cookie后马上通过自己的电脑把cookie还原成登陆URL,从而成功进入老师的邮箱。
在对此次入侵事件进行剖析时,龚嘉发现南京大学软件学院邮件系统安全漏洞主要有如下两方面:
1.打开邮件时系统没有执行脚本过滤。
此次入侵在于南京大学软件学院的邮件系统缺乏基本的脚本攻击防范,学生只需在邮件中使用一个图片加上onload属性的脚本就轻易的获取了教师的cookie信息。此邮件系统连onload 都能注入脚本,这样低级的防范都没有过滤,被入侵是不可避免。
2.Cookie的登录检验机制太过简单
刘同学拿到老师的cookie后,即可通过自己的电脑进行登录,系统完全没有进行校验,比如增加简单的IP检查,如果系统支持该机制,就算学生拿到cookie,也会因为IP不同而无法登陆。
关于此类邮箱安全漏洞的防范
针对此类邮箱安全漏洞防范,龚嘉认为当务之急是该校邮箱用户使用客户端软件来进行邮件的收发,如Outlook、Foxmail、闪电邮等,可屏蔽此类安全风险。但是Web网页邮箱的便利性和多功能是邮件客户端所不可替代的,应尽快通知相应的邮件系统厂商对漏洞进行修复。据推算,目前国内超过半数高校的邮件系统存在此类安全漏洞。
龚嘉同时提醒,盈世Coremail是国内最成熟的邮件系统,经过多年来6亿用户的验证,足以证明其稳定性和安全性。
Coremail目前拥有国家保密局涉密系统及中国安全信息测评中心EAL2级两项国家级安全资质,系统具备严密安全的脚本过滤机制,完全无需考虑会发生此类脚本入侵。经过多年的考验,以及Coremail已经形成了严密的安全漏洞防范体系,可对新的漏洞随时保持修复和更新。并且Coremail邮件系统是以Cookie +Session的方式对用户身份进行认证和IP检查,从而判断用户是否合法、是否需要重新登录,能够防止非法用户窃取Cookie链接后在其它电脑登录。
目前,盈世Coremail邮件系统已经被广泛应用于中国科学院、清华大学、复旦大学、中国科学技术大学、同济大学、厦门大学、北京师范大学等高校及科研机关单位。
|
|
|
|
