安全研究

安全漏洞
BigMailBox.com href令牌漏洞导致用户信箱被非法访问

发布日期:2000-02-24
更新日期:2000-02-24

受影响系统:
BigMailBox.com Web email系统
描述:
BigMailBox.com (http://www.bigmailbox.com)提供基于Web的免费email服务。
它的Email系统用href令牌进行认证,可能导致恶意站点控制其用户信箱。

当用户浏览Web页面时,通过点击某个超链到达某个站点,Netscape或者Internet Explorer等
浏览器会转发一个变量给这个站点,这个变量被称为"HREF",包含引用这个链接的站点的URL.
这个变量会出现在这个站点的访问日志里。例如:

  your.machine.com - - [10/Feb/2000:22:34:30 -0700] "GET /index.html HTTP/1.0"
  200 48797 "http://remote.site.com/" "Mozilla/4.7 [en] (Win98; I)"

这表明,your.machine.com发送了一个GET请求得到这个服务器上的/index.html文件。
而且your.machine.com 是从"http://remote.site.com"这个Web页面上得到这个链接的。

BigMailBox.com使用一种会话令牌来处理对信箱的访问。这个会话令牌告诉系统用户已经登录
并且正在访问信箱。当用户退出后,这个令牌自动过期,强制这个用户用一个新的令牌登录。
在没有退出登录的情况下,这个令牌缺省会在登录一个小时后过期.

但如果用户在一条Email消息中点击了某个链接,这个会话令牌会通过HREF变量转发给相应的
站点。如果该站点的用户从访问记录中得到这个会话令牌,就可以用它来等录进BigMailBox.com
的Web email帐号,而不需要其他口令认证。


多种因素综合起来将导致这成为一个严重的问题:

        
        * 很多系统的web访问记录是任何人都可读的。所以任何系统用户都可能从其中
          获得会话令牌
        
        * 因为访问BigMailBox.com的email帐号的URL格式很标准,因此,一旦得到了当前
          的会话令牌,很容易构造一个有效的URL浏览BigMailBox用户信箱。
        
        * BigMailBox.com的web email的客户程序会自动将所有的URL转换成指向该站点的
          超链

        * 利用上面的知识,恶意攻击者可以发送给用户包含一个特定链接的email,并怂恿
          用户去浏览该站点。这样攻击者就可以获得该用户的会话令牌。


<* 来源: Mcintyre ,Munge and Jericho
     E-Mail: alert@attrition.org
     WWW : http://www.attrition.org/security/attrition.html
*>


测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!



1. 攻击者首先向目标发送一封邮件,其中有一个链接作为"诱饵".希望受害者能点击这个链
   接 。例如,发封email给victim@antionline.org,里面带有下列URL:
  
     http://www.myserver.com/visit/me.html


2. BigMailBox收到这封email后,将这个URL转化为超链,受害者阅读邮件后点击了这个链接。


3. www.myserver.com记录下了这次访问。攻击者现在可以在记录中找到HREF变量的内容:

     http://mail12.bigmailbox.com/users/antionlineorg/mail.cgi?act
     =viewPP=root/&fol=Inbox&mid=s00000006&mn=2&tm=2&st=A&sf
     =2&un=victim&uid=BVZkfObYaz4BZUXWkxPz2ZAvt


   攻击者现在可以找到受害者的帐号名:victim("un"即UserName).在这个HREF的最后一个
   字段是uid,它就是当前的会话令牌,在这里是: BVZkfObYaz4BZUXWkxPz2ZAvt
   

4. 利用这两个字段,攻击者可以构造一个新的URL:


     http://mail12.bigmailbox.com/users/antionlineorg/go.cgi?act
     =list&fol=InboxPP=root&un=victim&uid=BVZkfObYaz4BZUXWkxPz2ZAvt

   通过在浏览器中执行这个链接,攻击者就可以绕国等录过程而直接访问用户的web email
   帐号。
   
一旦等录进去,攻击者就可以完全控制这个帐号,他可以:


        * 冒充这个用户给任何人发送邮件
        * 阅读并处理 任何已经收到的邮件
        * 改变缺省的超时时间从1个小时到3个小时
        * 获取和修改用户的帐号信息

建议:
在BigMailBox.com的email帐号中不要点击邮件中的任何链接,将URL拷贝并粘贴到另外一个浏
览器窗口去浏览。

浏览次数:6667
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客