HTML內文的電子郵件為何預設不要自動下載圖片

  在Outlook中預設當我們開啟郵件時會禁止任何圖片的下載,除非你同意,而一直以來都沒細心留意這個預設功能的我,最近在拜讀CSRF攻擊的相關測試概念時才知道,這是為了預防已通過網站認證的使用者不小心被惡意圖片下載連結竊取Cookiehttp網站認證訊息,這種攻擊常存在於使用HTML內文的郵件,而除了Outlook可以用HTML型式以外,Web Mail亦屬於HTML內文的郵件,這也是為何我的Yahoo信箱中的垃圾郵件預設也是禁止下載任何圖片甚或是不可以點擊任何鏈結。

攻擊原理

  其實這一類攻擊的原理很簡單:(1)一般網站在使用者通過認證之後,常會返回認證過後的CookieHttp基本認證資訊給使用者瀏覽器。(2)此後使用者任何到網站的Request都會附上認證的Cookie或認證資訊給網站。(3)CSRF的目標正是這Cookiehttp認證內容,駭客利用GET MethodLink手法誘使已認證使用者在不知情狀況下觸發Link給網站送信息,然後從中竊取Cookie認證資訊,之後便可以假裝是使用者進入網站進行操作。

 

 

HTML 中的惡意Link

   駭客可以通過把使用者導到惡意網站鏈結或是欺騙使用者開啟有惡意鏈結的電子郵件觸發GET Method向目標攻擊網站發送Request with Authed-Cookie 然後獲取該authed-cookie值,此後駭客便可以在Session有效期間內任意進出網站而不用經過認證,因為網站上的Authed-Cookie已經被駭客竊取。

  而用Mail的方法很簡單,只要在Mail中加入如下指向目標攻擊網站的圖片連結,則當使用者不小心開啟此郵件後,瀏覽器便會自動試圖下載該圖片而向目標網站送出Request with Authed-Cookie,駭客便有了機會竊取cookie

<html>

<body>

    <img src=”https://[已通過認證的目標攻擊網站]/XXX/XXX.htm” width=0 height=0></img>

</body>

</html>

  可以看到該郵件內容含有一看不見的圖片,如果Web MailOutlook並沒有預設禁止下載圖片,當使用者開啟郵件時此Link就會被觸發去試圖下載圖片,但其實是指向攻擊網站的某一個資源,在這過程將傳送authed-cookie,駭客便可以從中進行竊取與攻擊。

   所以為了怕User在打開郵件時誤觸發惡意Link導致駭客成功竊取authed-cookie然後攻擊網站,最好在郵件開啟的設定中預設不下載圖片。這是一種安全的考量。

 

20171115日星期三 6:04 AM

arrow
arrow

    jackterrylau 發表在 痞客邦 留言(0) 人氣()