扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
四、地址簿暴露漏洞
继续上一步,在“写邮件”窗口中单击“收件人”或“抄送”按钮,可以打开“选择地址”对话框,打开“地址簿”下拉列表,你会发现地址簿里的联系人的地址都在这里了。单击“新建”按钮,可以往地址簿里添加联系人;单击“属性”,还可以查看联系人的详细资料。
另外Foxmail在保存地址簿和邮件时,也未做任何加密处理。进入Foxmail\Address目录,其中有很多以.IND和.BOX为扩展名的文件,用记事本任意打开一个.IND文件,虽然有乱码,但仍能清楚地看到其中的E-mail地址。再用记事本打开对应的.BOX文件,你就可以查看联系人的详细资料了。
解决方法:同一、三两个漏洞的解决方法。
为什么将Account.stg这个文件复制到别人的账户文件夹下,就有这么大的“威力”呢?用“记事本”打开该文件看看就明白了(图3)!
图三
事实上,你在Foxmail的“帐户→属性”菜单中设置的所有内容几乎都包括在其中了(如果你细心的话,会发现“属性”中的“模板”并没有包含在内),其中也包括了经过加密的信箱密码密文,也就是“POP3Password=”后面的部分。
而众所周知,Foxmail的加密密钥是“~draGon~”,Foxmail就是用它来加密我们设定的邮箱密码。那么如何将密文转换为明文呢?只要把~draGon~这个单词对应的ASCII码:7E 64 72 61 47 6F 6E 7E给记下来,再将口令的密文两两分开,经过一番简单的异或运算就可以得到密码明文!具体方法就不多说了,毕竟我们这里不是教大家怎样破解Foxmail的邮箱密码。那么别人怎么会知道我们的信箱的口令长度为几位呢?很简单,只要用密文长度÷2再减去1就可以得到了。
解决方法:在新建账户时不要选择保存密码,如果已经选择了,可以右击账户,在弹出菜单中选择“属性”,会出现“账户属性”窗口,选择“邮件服务器” (图4),然后将“密码”栏中的密码清除即可。这样,当别人再打开account.stg文件时,会发现“POP3Password=”后面是空空如也,现在就不怕别人发现你的密码了。
图四
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者