测试之家淘宝店:主营软件测试定制服务 http://shop71136398.taobao.com/ 软件评测试考试论坛:http://www.testdao.com/forum-113-1.html 2012软件评测师考试群:28388329

反垃圾邮件测试

上一篇 / 下一篇  2009-02-05 13:49:09 / 个人分类:安全测试

查看( 1408 ) / 评论( 1 ) / 评分( 0 / 0 )

w5UJ:O8L&v0   bug描述:最近prod上不断收到邮件服务器发给自己邮件服务器的邮件或其他以邮件服务器名结尾发来的垃圾邮件,查询prod邮件服务数据库也未发现有相关的发送记录,那么邮件是怎么样发出的了?

{P/UCZg2uK0

4F%KRN7u0   诊断bug:其实这是一种常见的垃圾邮件发送模式,通过假冒知名企业的邮件服务器名给其企业下级客户发送其带有本公司的广告信息的邮件。从而骗取客户来阅读该邮件,并通过点击来追踪邮件的阅读情况。

2mCjz9j^X @\ y051Testing软件测试网\ cHY8u

   bug原理:企业内部邮件服务器的漏洞,大部分邮件服务器默认对本地用户域内发送邮件不强制做身份认证的弱点。

2^Yq,l$~9wG051Testing软件测试网n{,A9fkE d;` o"?

   测试方法:1.启用一个邮箱,如打开OUTLOOK EXPRESS51Testing软件测试网ymF?5Jt!zl

51Testing软件测试网;d4H#Er W`N

           2.创建一个新的用户(即你要假冒的邮箱名)如test@abc.com,不输入密码51Testing软件测试网\3m? _1b)OQ-h

6o k}Sel\1W._A0           3.配置好正确的SMTP和POP3(可以拿自己公司的邮件服务器做测试)

nx n[(u0

r_.w E4D+F0           4.不设定发送服务器认证,直接写一封test@abc.com发送给test@abc.com的邮件,发送51Testing软件测试网Lb5PY8aO%B5a$G

51Testing软件测试网Ue/M/w-XVY I

   测试期望结果:1.如果成功,那么你的服务器也就有这样的隐患

`B]#Y7Q%mK$jIQ0

u}#o5@/^Z4b@x+nk N0               2.如有失败,那么你的服务器则不存在这样的隐患

M}5D]q6a h|n9i$Vs0

i6BS/w6Xi0   测试实际结果:发送成功,说明公司prod上确实存在这种安全隐患!

/a6feRII"q-w$u051Testing软件测试网i5^(YPc TY l kc

  51Testing软件测试网~5`6shYF:a/R


收藏 举报

TAG: 安全测试

-DNA's home 引用 删除 huoxingyinzi   /   2009-04-11 12:50:06
安全测试的测试范围是很广泛的,这个测试也是属于安全测试的范围之类,所以要做好安全测试考虑的范围也不仅仅在于应用程序上测试。
 

评分:0

我来说两句

Open Toolbar