警惕通过论坛盗取公司员工电子邮箱
时间:2008-01-25 19:01:49
作者:officeba 【认证】
如今越来越多的公司已经建立了自己的网上门户,当然也包括公司论坛,这给员工之间的交流带来了极大的方便,同时也引发了潜在的安全问题。如果黑客攻陷了论坛,就有可能
获得员工的过滤信息,接着利用社会工程学就能侵犯员工的个人权益。
很多公司网站普遍存在安全性差的问题,因为它们的论坛数据库路径都是默认的,未作任何修改。下面我们来看黑客是如何获得论坛数据库以及得到邮箱密码的。
第一步:通过搜索引擎找到公司论坛
首先登录百度搜索关键词“ 公司论坛” ,翻到18 页以后(因为排前面的都是知名的大公司论坛,这种低级错误一般不会犯),开始寻找可以下手的论坛。
找到合适的公司论坛后,用动网论坛的默认数据库存放路径测试下是否能下载,如果能下载,就OK ;如果不能,继续在百度上寻找下一个公司论坛,直到找到为止。
小提示:如果想增加搜索准确性可在百度上用关键词“ 公司论坛Powered By Dvbbs.net ”
第二步:测试论坛数据库路径是否为默认
动网论坛的数据库默认的存放为:http:// 论坛地
址/ data/dvbbs7.mdb ,例如,某论坛的地址为http://bbs.xxxxx.com/ 即尝试http://bbs.xxxxx.com/data/dvbbs7.mdb 是否能下载到数据库。通过测试,某公司的论坛数据库已经被成功下载了。
第三步:利用数据库找出密码信息
数据库下载到本地后,用Microsoft Office Access 打开。打开后,我们看到表DV_User ,这里就是存放会员资料的地方,接下来看UserPassword 字段,这里就是会员的密码,虽然经过了MD5 加密,但实际破解起来并不困难。
再看到密码字段旁边的UserEmail 字段,不难看出,这就是会员的电子邮箱地址。虽然密码字段里记录的密码是该会员在论坛的密码,但人类行为学告诉我们,通常很多人只会习惯用一个密码,也就是说,他的电子邮箱密码极可能就是他的论坛密码,破解出论坛密码,登录他的电子邮箱也就不难了。
第四步:在线破解MD5 密文
选择一个想要进入的邮箱,复制旁边UserPassword 字段里的密文efc8a2b3ad6878f4 ,在此我采用在线破解(实际上并不能叫破解,只是一个庞大的数据库对照查询而已),如果采用软件本机穷举,那么将要花很长的时间。
推荐使用www.cmd5.com ,该网站破解MD5 成功的概率比其他的同类网站要高出很多。把密文efc8a2b3ad6878f4 粘贴到网站文本框内,点击“ md5 加密或解密” 按钮,很快就会得到明文密码“ 4981473 ” ,接着可以登录邮箱。可以看到,他的邮箱是163 提供的,因此就在mail.163.com 登录。输入用户名密码后,真的能成功登录。
登录后,我可以看到邮箱里有照片、员工培训计划、公司文件等邮件,各种商业隐私暴露无遗。至此,一个邮箱的密码就成功获取了,背后还能引出更多严重的后果。
防范方法
原来,论坛数据库被下载并不是该论坛将会受到入侵、挂马那么简单。那么如何来防范呢?
1. 论坛管理员应做好论坛安全防范措施
在论坛刚刚开通之时,就应该修改论坛的默认数据库路径。首先用记事本打开动网论坛的CONN.ASP 文件,里面有详细的说明,论坛管理员可以仔细看看。看到注释“ Access 数据库设置” ,将数据库名改为一个毫无逻辑性的文件名,比如y86uh23er5tfd.mdb ,最后保存退出。
同时,将data 文件夹里的dvbbs7.mdb 文件名也改为刚才在CONN.ASP 文件里修改的那个名字,也就是改为y86uh23er5tfd.mdb
至此,黑客想通过猜测名字来下载到论坛数据库,几乎是不可能了,如果再加上几层毫无逻辑性的文件夹路径,那就更加安全了。
Access 数据库相对来说安全性较差,因此,有条件的话,论坛管理员最好使用MSSQL 或者MYSQL 作为论坛的数据库,如果使用那两种数据库,就不存在被下载的问题了。
2. 论坛会员应有良好的密码使用习惯
通过我刚才的演示,可以得知,黑客就是抓住了大众普遍的心理,才轻易的以论坛数据库作为跳板,成功登录到用户电子邮箱里。
重要的密码需要专门使用,比如银行密码、支付宝密码、邮箱密码等,需要使用一个专门的密码,绝对不用在其他的账号上,如QQ 、网络游戏、论坛ID 等,当然,你能做到一个账号对应一个密码那是最好的。注册论坛的时候,特别是容易被下载数据库的论坛,尤其需要小心,万万不可填写上一个统一的密码。重要密码尽量复杂,最好是“ 数字+ 字母” 相混合,长度超过12 位以上的,一个重要的密码,长些并不过分。总结
公司论坛数据库往往保存着大多数员工的电子邮件、密码等信息,一旦通过这种方法获取到数据库,那么全部员工的隐私将完全暴露,可谓是“ 群死群伤” 的事故。
如果通过这种方法登录邮箱后,看到有支付宝等涉及到财产的邮件,黑客会不会进一步能猜测出支付宝的密码呢?会不会盗窃员工的隐私照片后,进行勒索敲诈呢?由此而引发的一连串问题,你注意到了吗?