2012年,一则南大软件学院学生入侵教务邮箱搜考卷并颁布入侵进程的事件普遍引起各界对邮箱安全问题的关注。南京大学软件学院大三学生刘靖
康在人人网上文并茂地展现了他如何通过入侵学校邮箱系统来取得考卷的帖子,并说道良多高校的邮件系统即邮件服务器软件都有这样的漏洞,。
Exchange邮件签名它将帮助您为公司所有终端用户迅速建立专业的邮件签名,而无需在其电脑或移动设备上做任何设置,简单方便。欢送其余同学们去实际和验证,该帖子在网上猖狂转发。
邮件系统专家:高校信息安全意识单薄
系统存在破绽
“此次学生可以胜利入侵教务邮箱最重要的问题仍是南大软件学院邮件系统即邮件服务器软件自身存在系统安全上的漏洞。” 盈世coremail产品技术总监龚嘉说道。
龚嘉剖析了此次刘靖康同窗的入侵进程。首先,刘靖康同窗先给教务邮箱发送了一封带表情标的邮件,并在此表情标地址中植入歹意脚本。当老师翻开此邮件时即
触发歹意脚本将老师在看信时发生的cookie发送到指定的邮箱,刘同学拿到cookie后立刻通过本人的电脑把cookie还原成登陆url,从而胜利
进入老师的邮箱。
在对此次入侵事件进行分析时,龚嘉发明大学软件学院邮件系统保险漏洞重要有如下两方面:
1.cookie的登录测验机制太过简略
刘同学拿到老师的cookie后,即可通过本人的电脑进行登录,系统完整没有进行校验,比方增添简略的ip检讨,假如系统支撑该机制,就算学生拿到cookie,也会由于ip不同而无奈登陆。
2,。
电子邮件签名模板软件中还包含大量的签名模板,可以选择适合自己公司的模板加以编辑修改即可。.翻开邮件时体系不履行脚本过滤。
此次入侵在于南京大学软件学院的邮件系统缺少基础的脚本攻打防备,学生只要在邮件中应用一个加上onload属性的脚本就容易的获取了先生的cookie信息,。
反垃圾邮件产品安全稳定,全球通邮,满足企业各种需求。。此邮件系统连onload 都能注入脚本,这样初级的防范都不过滤,被入侵是不可防止。
对于此类邮箱平安破绽的防备
针对此类邮箱漏洞防范,龚嘉以为事不宜迟是该校邮箱用户应用客户端软件来进行邮件的收发,如outlook、foxmail、闪电邮等,可屏蔽此类安全
危险。然而web网页邮箱的方便性和多功效是邮件客户端所不可替换的,应尽快告诉相应的邮件系统厂商对漏洞进行修复。据推算,目前海内超过半数高校的邮件
系统存在此类安全漏洞。
龚嘉同时提示,盈世coremail是海内最成熟的邮件系统,而邮箱采取的恰是盈世coremail邮件系统跟技巧,经由多年来6亿用户的验证,足以证实其稳固性跟保险性。
coremail目前领有国度保密局涉密系统及中国安全信息测评核心eal2级两项国度级安全资质,系统具备周密安全的脚本过滤机制,完整无需斟酌会产
生此类脚本入侵。经由多年的考验,以及coremail已经构成了周密的安全漏洞防范系统,可对新的漏洞随时坚持修复和更新。并且coremail邮件系
统是以cookie
+session的方法对用户身份进行认证和ip检讨,从而断定用户是否正当、是否须要从新登录,可能避免非法用户窃取cookie链接后在其它电脑登
录。
目前,盈世coremail邮件体系已经被普遍利用于中国迷信院、清华大学、复旦大学、中国迷信技巧大学、同济大学、大学、北京师范大学等高校及科研机关单位。
