1．郵件系統(tǒng)所面臨的問題及現(xiàn)狀其一，郵件服務(wù)器未能及時(shí)修復(fù)系統(tǒng)漏洞導(dǎo)致的信息遺失。目前，大多數(shù)郵件服務(wù)器使用的是Windows、Unix或Linux系統(tǒng)，由于服務(wù)器系統(tǒng)一直處于安裝時(shí)的補(bǔ)丁狀態(tài)，未對(duì)新發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修復(fù)。據(jù)統(tǒng)計(jì)，洪水攻擊、DDOS攻擊、列舉式字典攻擊的情況不時(shí)威脅著郵件服務(wù)器，攻擊者在對(duì)服務(wù)器存在的已知漏洞研究定量后，對(duì)服務(wù)器進(jìn)行crawling和信息抓取，獲取開發(fā)人員或管理員在服務(wù)器上留下的資料，通過這些資料突破服務(wù)器，從而將木馬程序植入服務(wù)器中，竊取用戶資料，危害用戶的利益。其二，服務(wù)器盲目整合對(duì)郵件服務(wù)器帶來的安全隱患。在構(gòu)建郵件系統(tǒng)網(wǎng)絡(luò)中，由于一些企業(yè)或部門為了節(jié)約成本，將郵件服務(wù)器和其他服務(wù)器(如Web應(yīng)用、數(shù)據(jù)庫(kù)等)整合在一臺(tái)服務(wù)器中，雖然對(duì)郵件系統(tǒng)進(jìn)行了郵件過濾和病毒防范，但是Web應(yīng)用和數(shù)據(jù)庫(kù)等漏洞也會(huì)對(duì)郵件服務(wù)器產(chǎn)生安全隱患。尤其是RPC端點(diǎn)映射器(TCP、UDP135端口)、BetBIOS會(huì)話服務(wù)與CIFS服務(wù)(TCP139、445端口)，這些服務(wù)都可能遭受攻擊，給Windows環(huán)境安全帶來嚴(yán)重威脅。雖然網(wǎng)絡(luò)系統(tǒng)中部署了防火墻，但只有正確的安全策略設(shè)置，才能保證內(nèi)部網(wǎng)絡(luò)的安全。其三，郵件本身所存在的安全隱患。對(duì)于郵件本身，產(chǎn)生電子郵件安全隱患主要有三個(gè)方面：一是電子郵件傳送協(xié)議自身的先天安全隱患，由于電子郵件傳輸采用的是SMTP協(xié)議，即簡(jiǎn)單郵件傳輸協(xié)議，它傳輸?shù)臄?shù)據(jù)沒有經(jīng)過任何加密，只要攻機(jī)者在其傳輸過程中把它截獲即可知道內(nèi)容；二是郵件接收客戶端軟件的設(shè)計(jì)缺陷導(dǎo)致的，如攻擊編制一定代碼讓木馬或者病毒自動(dòng)運(yùn)行，或者根據(jù)客戶端存在的漏洞，如TheBat口令保護(hù)被繞過漏洞、OutlookExpress標(biāo)識(shí)不安全漏洞Foxmail口令繞過漏洞等，入侵者在控制存在這些漏洞的計(jì)算機(jī)后，可以輕易獲取E-mail地址以及相對(duì)應(yīng)的用戶名與密碼，如果存在E-mail通訊錄，還可以獲取與其聯(lián)系的其他人的E-mail地址信息；三是用戶個(gè)人粗心使用導(dǎo)致的安全隱患。其四，管理人員的失誤造成的系統(tǒng)風(fēng)險(xiǎn)。很多管理員由于對(duì)郵件服務(wù)器配置不熟悉，搭建郵件服務(wù)器平臺(tái)時(shí)，未對(duì)系統(tǒng)的用戶、服務(wù)、端口配置和安全策略進(jìn)行設(shè)置，在管理中忽視了系統(tǒng)漏洞升級(jí)，在使用上下載并執(zhí)行未經(jīng)安全檢查的軟件，也給郵件系統(tǒng)帶來極大風(fēng)險(xiǎn)。2.電子郵件系統(tǒng)所受攻擊類型的分析電子郵件系統(tǒng)可以通過客戶端和Web兩種方式進(jìn)行訪問，客戶端訪問可以通過限制連接數(shù)進(jìn)行訪問控制，從而杜絕垃圾郵件利用，其安全防范較為簡(jiǎn)單。而通過Web方式訪問店址郵件，其針對(duì)網(wǎng)頁(yè)應(yīng)用的漏洞和攻擊形式都已運(yùn)用到網(wǎng)頁(yè)郵箱系統(tǒng)中，然而考慮到Web郵箱系統(tǒng)自身的特點(diǎn)以及各種類型Web漏洞的在實(shí)際運(yùn)用中的普遍程度和攻擊效果，我們側(cè)重考慮如下五種安全風(fēng)險(xiǎn)類型。2.1注入漏洞攻擊這種漏洞是現(xiàn)在應(yīng)用最廣泛，殺傷力也很大的漏洞，可以說微軟的官方網(wǎng)站也存在著注入漏洞。注入漏洞是因?yàn)樽址^濾不嚴(yán)謹(jǐn)所造成的，可以得到管理員的賬號(hào)密碼等相關(guān)資料。這種漏洞包括SQL注入、代碼注入、命令注入、LDAP注入、XPath注入等。對(duì)于Web電子郵箱系統(tǒng)，注入漏洞和一般的Web應(yīng)用并無(wú)太多差別，因而測(cè)試方法和一般的Web應(yīng)用注入漏洞測(cè)試方法無(wú)異，對(duì)于SQL注入漏洞主要測(cè)試Web郵箱系統(tǒng)中涉及數(shù)據(jù)庫(kù)操作的部分，其他類型的注入漏洞則根據(jù)目標(biāo)Web郵箱的具體實(shí)現(xiàn)而進(jìn)行分析。從開發(fā)者的角度來考慮，Web應(yīng)用程序中能觸發(fā)此類注入漏洞的點(diǎn)是相對(duì)固定的，此類漏洞的測(cè)試和利用方式亦無(wú)太大變化，因而比較容易分析和防御。2.2跨站請(qǐng)求偽造攻擊跨站請(qǐng)求偽造(Cross-siterequestforgery)，也被稱為one-clickattack或者sessionriding，通常縮寫為CSRF或者XSRF，是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。跟跨站腳本(XSS)相比，XSS利用的是用戶對(duì)指定網(wǎng)站的信任，CSRF利用的是網(wǎng)站對(duì)用戶網(wǎng)頁(yè)瀏覽器的信任。跨站請(qǐng)求偽造漏洞的根源在于瀏覽器不同標(biāo)簽頁(yè)之間共享同域會(huì)話數(shù)據(jù)的機(jī)制，具體來說，當(dāng)用戶完成對(duì)目標(biāo)Web應(yīng)用站點(diǎn)的登錄驗(yàn)證之后，瀏覽器會(huì)存儲(chǔ)登陸驗(yàn)證之后由Web應(yīng)用服務(wù)器返回給瀏覽器的會(huì)話認(rèn)證信息(即Cookie數(shù)據(jù))，之后凡是針對(duì)該站點(diǎn)的HTTP請(qǐng)求，瀏覽器都會(huì)自動(dòng)帶上會(huì)話認(rèn)證信息進(jìn)行校驗(yàn)，利用這一特性，攻擊者可以偽造HTTP表單，誘騙受害用戶瀏覽執(zhí)行，從而在受害用戶不知情的情況下以受害用戶的身份執(zhí)行表單請(qǐng)求操作，這就是跨站請(qǐng)求偽造。除此而外，最為重要的一點(diǎn)需要注意，目前主流的Web郵箱系統(tǒng)大多數(shù)都提供了郵件自動(dòng)轉(zhuǎn)寄功能，一旦存在跨站請(qǐng)求偽造漏洞，攻擊者可以在用戶不知情的情況下篡改目標(biāo)用戶的郵件轉(zhuǎn)發(fā)地址，這毫無(wú)疑問早一種操作極其簡(jiǎn)單而危害卻非常嚴(yán)重的攻擊方式。2.3URL訪問控制是指Web應(yīng)用開發(fā)者未能對(duì)URL的訪問權(quán)限進(jìn)行認(rèn)證，導(dǎo)致攻擊者可以通過簡(jiǎn)單地修改URL地址，訪問本該需要通過用戶名密碼認(rèn)證授權(quán)才能訪問的資源，實(shí)現(xiàn)越權(quán)訪問操作。對(duì)于URL訪問控制的問題，一般情況來講，目前己有的Web郵箱系統(tǒng)都不至于出現(xiàn)如此低級(jí)的錯(cuò)誤，除非目標(biāo)Web郵件系統(tǒng)由比較粗心或者不熟悉業(yè)務(wù)的程序員編寫，不然一般不會(huì)犯URL訪問控制權(quán)限上缺乏校驗(yàn)的錯(cuò)誤。之所以在此提及此類漏洞，是因?yàn)樵趯?shí)際應(yīng)用中，目前的Web應(yīng)用大多采用XML或者是JSON格式傳遞數(shù)據(jù)，生成此類動(dòng)態(tài)數(shù)據(jù)的接口中，所以不排除有URL訪問控制缺乏校驗(yàn)的問題，這將引發(fā)個(gè)人隱私公共安全等信息泄露的問題。2.4JSON劫持攻擊JSON劫持是指利用Web應(yīng)用開發(fā)者不規(guī)范的JSON數(shù)據(jù)傳遞格式，實(shí)現(xiàn)跨域內(nèi)容操作，通過JSON劫持攻擊的主要危害是泄露敏感數(shù)據(jù)。通過JSON格式進(jìn)行數(shù)據(jù)傳遞己是目前Web應(yīng)用開發(fā)中常用的手段，當(dāng)然Web郵箱系統(tǒng)也不例外，很多情況下，Web郵箱系統(tǒng)的訪問URL地址中都會(huì)帶有用戶登錄系統(tǒng)之后生成的Session校驗(yàn)數(shù)據(jù)的ID號(hào)，比如QQ郵箱系統(tǒng)、新浪郵箱系統(tǒng)。由于JavaScript被用于傳送數(shù)據(jù)而不是純粹的代碼，因此，一個(gè)惡意Web站點(diǎn)可以利用同源策略處理JavaScript方面的缺陷，訪問由其他應(yīng)用程序生成的數(shù)據(jù)。如前所述，實(shí)施這種攻擊時(shí)需要提交一個(gè)XSRF請(qǐng)求。但是，由于現(xiàn)在惡意站點(diǎn)能夠讀取在跨站點(diǎn)響應(yīng)中返回的數(shù)據(jù)，因而它能夠與目標(biāo)應(yīng)用程序進(jìn)行雙向交互?？偠灾琂SON劫持可能導(dǎo)致Web電子郵件中機(jī)密信息的泄露。2.5跨站腳本攻擊跨站腳本攻擊(也稱為XSS)指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。人們經(jīng)常將跨站腳本攻擊(CrossSiteScripting)縮寫為CSS，但這會(huì)與層疊樣式表(CascadingStyleSheetsCSS)的縮寫混淆。因此有人將跨站腳本攻擊縮寫為XSS?？缯灸_本分為3個(gè)類型。(1)持久型跨站:最直接的危害類型，跨站代碼存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)。(2)非持久型跨站:反射型跨站腳本漏洞，最普遍的類型。用戶訪問服務(wù)器-跨站鏈接-返回跨站代碼。(3)DOM跨站(DOMXSS):客戶端腳本處理邏輯導(dǎo)致的安全問題。Web郵箱系統(tǒng)主要是提供用戶操作電子郵件的接口，最基本的一個(gè)功能就是對(duì)電子郵件內(nèi)容的呈現(xiàn)，目前主流的Web郵箱系統(tǒng)都支持郵件內(nèi)容包含HTML的富文本標(biāo)簽，從而為跨站腳本漏洞提供了泛濫的溫床，一旦Web郵箱系統(tǒng)對(duì)郵件內(nèi)容的過濾稍有不慎，則將導(dǎo)致跨站腳本漏洞的產(chǎn)生。實(shí)際情況下，做到對(duì)富文本標(biāo)簽的郵件內(nèi)容過濾是非常困難的：第一，HTML語(yǔ)法比較松散，允許不常用的特殊字符進(jìn)行插入分隔；第二，可注入JavaScript腳本觸發(fā)跨站腳本漏洞的攻擊向量繁復(fù)；第三，HTMLS標(biāo)準(zhǔn)引入了新的HTML標(biāo)簽，原有的許多HTML標(biāo)簽則增加了新的特性，進(jìn)一步拓寬了跨站腳本的攻擊向量類型。從跨站腳本漏洞的危害性來看，一旦Web郵箱系統(tǒng)中出現(xiàn)跨站腳本漏洞，攻擊者可以輕易獲取Web郵箱系統(tǒng)的有效數(shù)據(jù)，還可操縱Web郵箱系的數(shù)據(jù)，刪除郵件、發(fā)送包含特定信息的郵件內(nèi)容，修改聯(lián)系人信息等。Web郵箱系統(tǒng)中的跨站腳本漏洞利用的高級(jí)形式是編寫針對(duì)Web郵箱系統(tǒng)的跨站腳本蠕蟲，實(shí)現(xiàn)大范圍的傳播和攻擊。一旦利用蠕蟲進(jìn)行傳播，破壞性是可想而知的。3.電子郵件的具體攻擊手段電子郵件攻擊手段有很多種，大致可分為以下兩種類型：第一種類型是利用電子郵件附件進(jìn)行攻擊也就是在發(fā)送的電子郵件附件由動(dòng)一些手腳，這種攻擊一般在收件人采用Web方式和P0P3方式接收郵件的情況下使用。如下五種方式：巧改郵件附件圖標(biāo)在郵件中捆綁木馬壓縮包附件攻擊圖片附件攻擊碎片對(duì)象文件攻擊第二種類型是直接利用電子郵件正文進(jìn)行攻擊也就是常說網(wǎng)頁(yè)郵件木馬。利用網(wǎng)頁(yè)郵件木馬攻擊與網(wǎng)頁(yè)木馬襲擊情況類似。因?yàn)橐话愕碾娮余]件格式有兩種：一種是普通的文本郵件格式另外一種是HTML網(wǎng)頁(yè)郵件格式，設(shè)想一下，假如將HTML格式的郵件制作成網(wǎng)頁(yè)木馬，收件人打開郵件對(duì)不就相當(dāng)于打開了一個(gè)木馬網(wǎng)頁(yè)嗎，這確攻擊方式比利用郵件附件進(jìn)行攻擊更具隱蔽性和迷惑性，危害也更大，它對(duì)采用web郵件接收方式的電腦攻擊效果最好，當(dāng)然對(duì)采用郵件客戶端接收方式的電腦也有一定的攻擊效果。當(dāng)我被上帝造出來時(shí)，上帝問我想在人間當(dāng)一個(gè)怎樣的人，我不假思索的說，我要做一個(gè)偉大的世人皆知的人。于是，我降臨在了人間。我出生在一個(gè)官僚知識(shí)分子之家，父親在朝中做官，精讀詩(shī)書，母親知書答禮，溫柔體貼，父母給我去了一個(gè)好聽的名字：李清照。小時(shí)侯，受父母影響的我飽讀詩(shī)書，聰明伶俐，在朝中享有“神童”的稱號(hào)。小時(shí)候的我天真活潑，才思敏捷，小河畔，花叢邊撒滿了我的詩(shī)我的笑，無(wú)可置疑，小時(shí)侯的我快樂無(wú)慮?！芭d盡晚回舟，誤入藕花深處。爭(zhēng)渡，爭(zhēng)渡，驚起一灘鷗鷺?！鼻啻旱奈胰缤恢恍▲B，自由自在，沒有約束，少女純凈的心靈常在朝陽(yáng)小，流水也被自然洗禮，纖細(xì)的手指拈一束花，輕拋入水，隨波蕩漾，發(fā)髻上沾著晶瑩的露水，雙腳任水流輕撫。身影輕飄而過，留下一陣清風(fēng)。可是晚年的我卻生活在一片黑暗之中，家庭的衰敗，社會(huì)的改變，消磨著我那柔弱的心。我?guī)缀鯇?duì)生活絕望，每天在痛苦中消磨時(shí)光，一切都好象是灰暗的?！皩ひ捯捓淅淝迩迤嗥鄳K慘戚戚”這千古疊詞句就是我當(dāng)時(shí)心情的寫照。最后，香消玉殞，我在痛苦和哀怨中凄涼的死去。在天堂里，我又見到了上帝。上帝問我過的怎么樣，我搖搖頭又點(diǎn)點(diǎn)頭，我的一生有歡樂也有坎坷，有笑聲也有淚水，有鼎盛也有衰落。我始終無(wú)法客觀的評(píng)價(jià)我的一生。我原以為做一個(gè)著名的人，一生應(yīng)該是被歡樂榮譽(yù)所包圍，可我發(fā)現(xiàn)我錯(cuò)了。于是在下一輪回中，我選擇做一個(gè)平凡的人。我來到人間，我是一個(gè)平凡的人，我既不著名也不出眾，但我擁有一切的幸福：我有溫馨的家，我有可親可愛的同學(xué)和老師，我每天平凡而快樂的活著，這就夠了。天兒藍(lán)藍(lán)風(fēng)兒輕輕，暖和的春風(fēng)帶著春的氣息吹進(jìn)明亮的教室，我坐在教室的窗前，望著我擁有的一切，我甜甜的笑了。我拿起手中的筆，不禁想起曾經(jīng)作詩(shī)的李清照，我雖然沒有橫溢的才華，但我還是拿起手中的筆，用最樸實(shí)的語(yǔ)言，寫下了一時(shí)的感受：人生并不總是完美的，每個(gè)人都會(huì)有不如意的地方。這就需要我們靜下心來閱讀自己的人生，體會(huì)其中無(wú)盡的快樂和與眾不同?！案徊蛔x書富不久，窮不讀書終究窮。”為什么從古到今都那么看重有學(xué)識(shí)之人？那是因?yàn)橛袑W(xué)識(shí)之人可以為社會(huì)做出更大的貢獻(xiàn)。那時(shí)因?yàn)樽x書能給人帶來快樂。自從看了《丑小鴨》這篇童話之后，我變了，變得開朗起來，變得樂意同別人交往，變得自信了……因?yàn)槲抑溃杭词宫F(xiàn)在我是只“丑小鴨”，但只要有自信，總有一天我會(huì)變成“白天鵝”的，而且會(huì)是一只世界上最美麗的“白天鵝”……我讀完了這篇美麗的童話故事，深深被丑小鴨的自信和樂觀所折服，并把故事講給了外婆聽，外婆也對(duì)童話帶給我們的深刻道理而驚訝不已。還吵著鬧著多看幾本名著。于是我給外婆又買了幾本名著故事，她起先自己讀，讀到不認(rèn)識(shí)的字我就告訴她，如果這一面生字較多，我就讀給她聽整個(gè)一面。漸漸的，自己的語(yǔ)文閱讀能力也提高了不少，與此同時(shí)我也發(fā)現(xiàn)一個(gè)人讀書的樂趣遠(yuǎn)不及兩個(gè)人讀的樂趣大，而兩個(gè)人讀書的樂趣遠(yuǎn)不及全家一起讀的樂趣大。于是，我便發(fā)展“業(yè)務(wù)”帶動(dòng)全家一起讀書……現(xiàn)在，每每遇到好書大家也不分男女老少都一擁而上，爭(zhēng)先恐后“搶書”，當(dāng)我說起我最小應(yīng)該讓我的時(shí)候，卻沒有人搭理我。最后還把書給撕壞了，我生氣地哭了，媽媽一邊安慰我一邊對(duì)外婆說：“孩子小，應(yīng)該讓著點(diǎn)?！蓖馄艆s不服氣的說：“我這一把年紀(jì)的了，怎么沒人讓我呀？”大家人你一言我一語(yǔ)，誰(shuí)也不肯相讓……讀書讓我明白了善惡美丑、悲歡離合，讀一本好書，猶如同智者談心、談理想，教你辨別善惡，教你弘揚(yáng)正義。讀一本好書，如品一杯香茶，余香繚繞。讀一本好書，能使人心靈得到凈化。書是我的老師，把知識(shí)傳遞給了我；書是我的伙伴，跟我訴說心里話；書是一把鑰匙，給我敞開了知識(shí)的大門；書更是一艘不會(huì)沉的船，引領(lǐng)我航行在人生的長(zhǎng)河中。其實(shí)讀書的真真樂趣也就在于此處，不是一個(gè)人悶頭苦讀書；也不是讀到好處不與他人分享，獨(dú)