Ajax让Sohu邮箱成为垃圾邮件的帮凶

 【IT168 专稿】今天，电子邮箱（E-mail）无疑已经成为大众通讯的工具；由于垃圾邮件泛滥，E-mail也成为信息安全的重大隐患之一。搜索到有效邮件地址成为垃圾邮件发送成功与否的决定要素。随着Ajax新兴技术在大型网站，如SOHU等得到应用，使得垃圾邮件制造者有机可乘。

    现在浏览器端以 JavaScript 为核心，基于各种 Web 标准(即:早已完成标准化的XHTML/CSS/DOM/XML/XSLT 和正在进行标准化的XMLHTTP)的技术正在加速整合，Ajax 就是这一系列技术的一个统称。其关键在于对浏览器端的JavaScript、DHTML和与服务器异步通信的组合。使用Ajax，可以使B/S（浏览器/服务器）模式的程序出现类似于C/S（客户机和服务器结构）的即时动态cool效果，实现不刷新页面，动态改变页面数据。

    目前很多大型的网站已经大范围使用了Ajax技术，比如我们经常看到的：google搜索时出来的搜索次数以及可能搜索到的下拉列表、在注册用户时输入用户名后，自动显示该用户是否可以被注册等等。然而这项技术在给用户带来便利的同时，若是考虑不周也会给带来一定的安全隐患。

    我们知道在开发程序用户登陆模块，处理用户登录失败时，出于安全方面考虑，不能返回给用户具体的“密码错误”或“用户名错误”，而要说：“用户名或密码错误”。（如图1）
 

（图1）
 
    既然这样，当然就不能在其他地方给用户返回，具体是用户名错误还是密码错误。但是有些网站采用Ajax技术之后，虽是给用户带来便捷为目的，却犯了这样的错误。据笔者经过一系列的测试发现，国内很多门型网站的邮件系统都存在这样的漏洞， SOHU、网易、21CN等都犯了上述错误。我们就以Sohu为例，看看垃圾邮件制作者是如何利用其email帐户暴露漏洞，得到有效邮件地址列表的。

    说到如何暴出邮件系统的email帐户，有些读者已经想到本文开头的例子“在注册用户时输入用户名后，自动显示该用户是否可以被注册”，说的就是这个例子。大家可以去sohu注册一个帐户：http://passport.sohu.com/web/signup.jsp，输入用户名，光标移到“请输入密码”的输入框，如果这个用户存在，马上后面会提示：（图2）
 

（图2）

     如果不存在，则提示：

（图3）      
  那么这两个信息是怎么来的呢？这里的Ajax处理流程是，JavaScript调用了相应的XMLHttpReques对象去访问一个web应用程序，然后获取返回结果后，直接把返回的结果输出到页面。

    部分源代码：

    在必要的参数中，operator是用来判断调用不同验证方法的（该check页面提供了几种不同的验证，还有两次密码是否一致等等），userdomain是域名，sohu有几个不同域名的邮箱，username就是用户名了，而代码中的time应该是为了保证每次get提交的时候让浏览器不缓存而设的（没有细看，不重要）。所以，三个参数中主要是username发生变化，而服务器仅仅返回两种不同的结果。

    这样就很利于我们爆破用户名了，还记得我们怎么暴力破解邮箱密码么？挂字典，然后不断提交，判断服务器返回字符中有没有特定的字符，破解的速度取决于网速和返回字符的多少。正常的访问是返回一个页面，这样就有一堆垃圾数据。然而Ajax告诉我们，只要从服务器返回“0”和“1”就可以作出判断，所以这里返回的更少了，仅仅是：

（图7）

    为此，我们完全可以可以尝试使用其他更方便的语言写出工具，用于搜集有效邮件地址，速度一定很快。很多大网站都使用了这样的验证方法，就不一一例举了。我已经仿照Ajax使用JAVASCRIPT写个爆sohu用户名测试程序，相关代码在这里不在本文列出来了。有兴趣的朋友可以去论坛（http://www.ixpub.net/thread-654600-1-1.html）查看。

    我列举了大家可能经常想到的一些解决方案：
    1、判断request的来源地址。这样的方式不推荐，因为黑客可以更改http包头，从而绕过检测。
    2、采用验证码。也不推荐，请各位大大想一下用户的感受，刚输入用户名就让我输入注册码？这样Ajax意义何在？
    3、给一个IP在一个小时内，分配一些份额，比如500个（考虑到网吧等等多台机器一个IP，使用NAT的地方）。
    4、返回随机图片。这是我自己设想了一种解决方案，没有经过测试，下面详细说明。

    从给出的前三个方案看，都存在一个误区，认为Ajax应该获得服务器返回的两个有特殊意义的值（用户名可用或不可用），然后再判断，分两种情况在页面显示出来不同的信息，或者把两个不同的返回结果直接给用户，这样两种经典的处理模式，问题就集中在“两个不同结果的值”这里。现在我们从需求出发，分析用户希望看到的结果，无非就是想知道用户名是否可用，也就是说最终的结果显示在用户容易看到的地方，而且用户可以“看懂”信息，并可以加以区别（知道能不能使用这个用户名注册）。而黑客（或垃圾邮件搜集者）认为，只要用户能看懂，程序也应该可以看懂并预测出两种结果，所以就有了这种暴力获取邮箱名称的攻击。如果“人”能看懂而程序不能看懂呢？举个典型的例子，大家还记得QQ网站的那个令人讨厌的中文验证码吧？那个东西就是随机的，程序不能预测并且用户可以看懂。在这里也可以使用这项技术。直接在服务器随机把“可以注册”和“不能注册”四个字，做成随机图片，文字以随机的字体和随机的颜色出现在图片中随机的位置，然后返回给javascript，再由javascript把图片放到网页中，用户看到的是返回的是随机大小的图片，暴力获取邮箱名的攻击就立刻失去了效果。
 

（图8）

    是否该在这里也使用Ajax技术，无所谓对错，只要大网站一带头，这样做的就会大有人在，只是我们在模仿的时候也要仔细考虑。毕竟Ajax的实质其实是在用户“感觉不出来”的情况下访问了web应用程序，再把返回的结果交给用户，同时用户可以去做其他的事情，不用等待结果。既然Ajax可以访问，恶意用户当然也可以自己去访问，所以我们应该把处理Ajax请求的web应用程序像其他页面一样做好相应的防范措施，就可以有效的避免安全问题。