Web漏洞是表象，代码容错不足是本质

上一期我们谈到了邮箱安全扫描部分的网络和主机安全检测，狭隘的讲这类漏洞是属于静态漏洞，只要我们有心，及时更新策略库，扫描发现和修补，可以把风险控制在一定的安全范围之内的。可是，Web层面的安全相对于网络和主机安全来讲更加具有复杂性，由于Web程序代码未过滤危险请求是本质原因，我们要通过表象特征去判断其本质问题，这要比直接验证的公开的漏洞要复杂得多，本期为大家介绍安恒信息的邮箱安全Web层面服务内容。

图：OWASP TOP 10 2017

本项服务目的在于全面深入发现邮箱应用中存在的安全弱点，检测应用层漏洞和邮件Web管理平台中存在的木马，帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高邮箱应用系统安全性提供依据，帮助用户建立安全可靠的Web邮箱应用服务。

我们主要通过工具扫描的方式开展这项检测工作，在服务期间，通常使用安恒信息的明鉴Web应用弱点扫描器开展，明鉴Web应用弱点扫描器（MatriXay）是安恒信息在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上，研制开发的一款Web应用安全专用评估工具。该项服务产品支持OWASP TOP 10等主流安全漏洞的自动检测，同时对各种挂马方式的网页木马如iframe、CSS、JS、SWF、ActiveX等，进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。

图：明鉴Web应用弱点扫描功能结构图

同时，我们还将用专业的检测工具和分析手段，发现邮件协议相关漏洞，帮助应用开发者和管理者了解邮件系统存在的脆弱性，为改善并提高邮件系统安全性提供依据，帮助用户建立安全可靠的邮件应用服务。主要采用Nessus工具开展此项服务工作，Nessus是一种典型的基于客户/服务器结构的网络扫描系统，Nessus服务器程序可以运行在各种类UNIX平台上，包括FreeBSD、Linux、Solaris以及Windows系统上。客户端包括用户配置工具和存储/报告生成工具。服务端包括一个扫描方法库（由插件组成）、当前活动扫知识描库和一个扫描引擎，利用此工具检测过程的优势是：

1、提供完整的邮箱漏洞服务器和客户端扫描服务, 并随时更新其漏洞数据库；

2、不同于传统的漏洞扫描软件, Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描；

3、其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高；

4、可自行定义插件(Plug-in)；

5、完整支持SSL(Secure Socket Layer)。

图：安全服务工具Nessus

通过这两个工具的检测和分析，基本上完成了上期内容介绍网络和主机扫描以及本期介绍的Web漏洞和协议方面的全面体检，用户可以根据实际情况自行周期性检测，全面筛查，但这并不能判断出哪些漏洞更容易被利用，或者说哪些漏洞会直接导致被入侵，哪些漏洞本身并没有危害。因此，我们建议大家寻找专业的厂商或者团队进行“渗透测试”服务。

附：部分最新与邮箱安全有关的漏洞

CVE-2017-12628Symantec Mail Security for SMTP响应处理拒绝服务漏洞

CVE-2016-9920 Roundcube steps/mail/sendmail.inc任意代码执行漏洞(CVE-2016-9920)

CVE-2015-0824 Mozilla Firefox拒绝服务漏洞(CVE-2015-0824)

CVE-2014-3556 Nginx SMTP代理远程命令注入漏洞

CVE-2011-4040 NJStar Communicator MiniSMTP Server远程栈缓冲区溢出漏洞

CVE-2010-1689 Microsoft Windows SMTP服务可预测DNS查询ID漏洞（MS10-024）