科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Foxmail十大安全隐患解决方法

Foxmail十大安全隐患解决方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

作为最有名的国产电子邮件客户端软件,Foxmail因其设计优秀、体贴用户、使用方便,提供全面而强大的邮件处理功能,以及很高的运行效率等特点,赢得了广大用户的青睐,使用Foxmail的用户非常多。

作者:天极网 来源:天极网 2008年7月25日

关键字: 电子邮件 foxmail安全 Foxmail

  • 评论
  • 分享微博
  • 分享邮件

  作为最有名的国产电子邮件客户端软件,Foxmail因其设计优秀、体贴用户、使用方便,提供全面而强大的邮件处理功能,以及很高的运行效率等特点,赢得了广大用户的青睐,使用Foxmail的用户非常多。

  与微软的Outlook Express一样,Foxmail也存在着许多安全隐患!

  一、Foxmial帐号转换漏洞解决办法

  在Foxmail中可以为不同的使用者建立不同的账户,每个帐户可以拥有自己的口令,来保护自己的信箱。但是,这个口令保护并不安全,用下面的方法可以可以轻松绕过口令保护,进入别人的信箱。

  首先,让我们来了解一下Foxmail中设置口令的方法。为进一步保护用户邮件的安全,Foxmail同时提供了对帐户和邮箱的双重口令保护功能。我们在选择自己的帐户之后,只需执行“帐户”菜单的“访问口令”命令,打开“口令”对话框(图1),然后再输入适当的口令即可为自己的帐户设置密码。另外,Foxmail还允许用户为某个邮箱设置密码(主要是指为用户的自定义邮箱设置密码,Foxmail的系统邮箱如“收件箱”等无法设置密码),以进一步的保护自己信息的安全。为此,我们只需选择需要加密的邮箱,然后执行“邮箱”菜单的“加密”命令,打开“口令”对话框并输入适当的密码即可。

图 1

  接下来,开始我们的“工作”。假设我们要侵入的账户名为lucky_test,设有电子邮件地址为lucky_test@263.net,邮箱密码为12345。下面我们就可以开始了。

  1、打开Foxmail,在“帐户”里边新建立一个帐户,用户名可以任意,我们假设新建的账户名为123,完成后退出Foxmail。

  2、打开“资源管理器”或“我的电脑”,找到Foxmail文件夹,如果采用默认安装方式,一般在C:\ProgramFiles\Foxmail下。打开里面的“Mail”文件夹,你会发现这里有许多以账户名命名的文件夹,打开新建的“123”文件夹,里边有个名为“account.stg”的文件,把它复制到你想侵入的账户的lucky_test目录里,直接覆盖原来的“account.stg”文件。

  3、重新运行Foxmail,点击名为lucky_test的账户,呵呵,不会再向你问口令了!直接就可以进入该信箱,里面的信件可以一览无余!

  特别说明:如果你是忘记了自己的某个账户口令,则不要向上面那么“暴力”,在新建账户时,你所设置的POP3服务器和SMTP服务器必须和以前的账户是一样的。如果你对新建帐户设置了访问口令,如“abc”,那么当你将新建账户文件夹下的“account.stg”文件,拷贝到忘记了口令的那个账户对应的文件夹下后,则后者现在的访问口令也为“abc”。

  其实,我们可以更简单一点侵入设有口令的账户,浏览别人的信件。方法是:进入Mail文件夹下你想侵入的账户对应的文件夹,将其中的account.stg文件更名或删除,然后运行Foxmail,你会发现该信箱上原来的小“锁头”不见了(加有口令的账户会带有红色小“锁头”标志)!此时不需要任何密码就可以看到被保护的信件!

  解决方法:如果你是在公共环境下使用Foxmail那就要小心了,最保险的方法是使用Foxmail以后,将你的帐户所对应的文件夹删除。或者在建立帐户时,邮箱路径不要选择默认的,而是输入一个自己才知道的,如C:\windows\system\window的路径,哈哈,在系统文件夹下,谁敢乱动?再保险一点,找到您新建的信箱文件夹后,点击鼠标邮件,在弹出菜单中选择“属性”,将文件夹设为“隐藏”,别人想找你的文件夹也就更费力气了。除此以外,再使用WinZip对该文件夹进行压缩,对压缩后的ZIP文件加上一个长一点的访问口令,使用时将其展开,使用完毕再如法炮制即可。其实用户名帐户管理不是一个很好的办法,建议作者能够参考一下263快信Winbox或OE的帐户管理方法,或许能使软件的安全性更高!

  二、Foxmial账户口令明文对比漏洞解决办法

  Foxmail在进行账户口令比较时实际上是明文对比,这样,别人就可以用SoftICE、TRW2000等动态调试软件跟踪,得到账户口令简直是易如反掌!实际上,网上流行的Foxmail账户破解工具就是利用此漏洞制作出来的。具体的漏洞发现方法就不多说了,因为需要您懂得一定的汇编知识,并且要使用TRW2000或SoftICE等反汇编软件,不过请相信我,只要是具备上述知识的人,最多只要5分钟就可以得到Foxmail的账户口令明文!这样要入侵我们的账户是不是非常容易!

  而且,由于Foxmail采用明文传送邮件,这使得黑客可以用嗅探软件得到邮箱密码或信件内容。举个例子,在局域网中的任何一台机器上运行NetXRay这个高级分组纠错软件,点击“Capture”面板中的“Capture Setting”按钮,然后选择“Advance Filter”选项卡,点击“IP→TCP”项,将其展开,进行过滤设置,选中的协议NetXRay就会过滤掉。之所有要进行过滤设置,是因为如果不进行那将不利于分析结果,因为NetXRay捕获到的数据包非常多,肯定会让你头痛不已的。由于Foxmail使用POP协议,所以除了POP协议外,其它协议全部选中(图2)。

图 2

  接着,在局域网内任意机器上用Foxmail收发邮件。之后,回到运行NetXRay的机器,点击“Capture”面板中的“End And View”信息按钮,查看捕获的数据。除了能看到收发邮件双方所使用的IP地址和端口号外,还能发现刚才用Foxmail收发信件用的信箱名及其口令。

  解决办法:信箱名和口令会被捕获,是由于POP协议是采用明文传送的结果,不完全是Foxmail的错,其它邮件软件如OE等在嗅探软件面前也会难以“幸免”。因此建议您发现有NetXRay等软件运行时,不要使用Foxmail收发邮件。当然,如果你打算用黑客软件攻击对方,使其“完蛋”^_^,那就是你的事了。而对于逆向软件的跟踪调试,建议博大公司能采取更严格的加密措施。如给软件加壳,对逆向软件采取防范措施,加入花指令,改进软件加密算法不用明文对比等,这些需要软件开放商来解决,不是我们读者的事了。对普通用户来说,如果你是在公共场所上网,使用完Foxmail后建议您删除你的账户,这样就不会有这个问题发生了。

  三、Foxmial冒名发信漏洞解决办法

  将有口令保护账户对应文件夹下的Account.stg文件删除或改名,虽然可以查看别人的信件,但由于账户的邮件服务器信息也会随之丢失,所以非法访问者无法冒名发信。但要想冒名发信还是有办法的,即便是加有口令的账户也可以。

  方法很简单,把那个加密的账户设置为Foxmail的默认账户即可(将某个账户调整到账户列表的最顶端,即成为默认账户)。我们可通过单击“查看”菜单中的“显示账户调节”选项,然后单击账户列表下面的“上移”按钮使之向上移动,直到移动到最顶端。接着在“我的电脑”中随便选择一个盘符,假设是C盘,在C盘下任意一个文件上单击鼠标右键,在弹出菜单中选择“发送到→Foxmail”命令,此时会自动打开该加密账户的“写邮件”窗口,而你选定的C盘下的文件会作为附件加入到附件中。填入收件人地址,编辑好邮件内容,单击“发送”,一封冒名邮件就发出了。是不是太容易了?

  解决方法:使用完毕,选中你设定的账户,点击“账户”菜单下的“删除”将该账户删除即可,下次使用可以重新建立账户。

  继续上一步,在“写邮件”窗口中单击“收件人”或“抄送”按钮,可以打开“选择地址”对话框,打开“地址簿”下拉列表,你会发现地址簿里的联系人的地址都在这里了。

  单击“新建”按钮,可以往地址簿里添加联系人;单击“属性”,还可以查看联系人的详细资料。

  另外Foxmail在保存地址簿和邮件时,也未做任何加密处理。进入Foxmail\Address目录,其中有很多以.IND和.BOX为扩展名的文件,用记事本任意打开一个.IND文件,虽然有乱码,但仍能清楚地看到其中的E-mail地址。再用记事本打开对应的.BOX文件,你就可以查看联系人的详细资料了。

  解决方法:同一、三两个漏洞的解决方法。

  五、Foxmail邮箱密码加密密文不保漏洞解决办法

  为什么将Account.stg这个文件复制到别人的账户文件夹下,就有这么大的“威力”呢?用“记事本”打开该文件看看就明白了(图3)!

图 3

  事实上,你在Foxmail的“帐户→属性”菜单中设置的所有内容几乎都包括在其中了(如果你细心的话,会发现“属性”中的“模板”并没有包含在内),其中也包括了经过加密的信箱密码密文,也就是“POP3Password=”后面的部分。

  而众所周知,Foxmail的加密密钥是“~draGon~”,Foxmail就是用它来加密我们设定的邮箱密码。那么如何将密文转换为明文呢?只要把~draGon~这个单词对应的ASCII码:7E 64 72 61 47 6F 6E 7E给记下来,再将口令的密文两两分开,经过一番简单的异或运算就可以得到密码明文!具体方法就不多说了,毕竟我们这里不是教大家怎样破解Foxmail的邮箱密码。那么别人怎么会知道我们的信箱的口令长度为几位呢?很简单,只要用密文长度÷2再减去1就可以得到了。

  解决方法:在新建账户时不要选择保存密码,如果已经选择了,可以右击账户,在弹出菜单中选择“属性”,会出现“账户属性”窗口,选择“邮件服务器” (图4),然后将“密码”栏中的密码清除即可。这样,当别人再打开account.stg文件时,会发现“POP3Password=”后面是空空如也,现在就不怕别人发现你的密码了。

图 4

  在Foxmail中,当我们删除了某个邮件之后,该邮件会转移到“废件箱”中,若用户在“废件箱”中再次执行了删除操作,该邮件就不会再显示出来了。不过,这样做并没有真正地删除这些邮件,它们仍然会保存在硬盘上,之所以不显示出来是因为Foxmail将其打上了删除标记。而实际上只有在执行了“压缩”操作之后,系统才会真正将它们删除。因此,有心人完全可以对这些看似已经被删除了的邮件进行恢复,从而得到您的秘密!

  要想恢复被删除的邮件,只需右击“废件箱”,然后从弹出的快捷菜单中执行“属性”命令,打开“邮箱属性”对话框,然后单击“工具”选项卡(图5),在这里我们会发现一个“开始修复”按钮,单击该按钮,删除的邮件就可以得到恢复。

图 5

  可能是出于方便用户的角度考虑,Foxmail中被删除邮件才存在被恢复的可能,但普通用户又怎么会知道该用“压缩”命令来真正将它们删除呢?!固然有“帮助”文件可以查询,但又有几个人会认认真真地看它呢?!

  解决方法:要想确保邮件安全,在删除邮件之后一定要记得压缩邮箱(包括废件箱及该邮件的原始邮箱),这样就不会有问题了。

  七、利用Foxmail可以发送匿名邮件

  在用Foxmail发送邮件时,Foxmail会将用户的邮件地址作为发件地址和回复地址发送给收件人,但同时,在撰写新邮件的窗口中Foxmail又提供了“查看→邮件头”功能,利用该功能我们可以发送匿名邮件。如果被人利用的话,也有一定的隐患。只需单击新邮件撰写窗口的工具栏中的“邮件头”按钮,打开“邮件头”下来菜单,然后分别从中选择“发件人地址”或“回复地址”命令,系统的新邮件撰写窗口就会分别多出一个“发件人”和“回复”地址栏(图6),我们只需在这些工具栏中输入其它的发件人及回复地址,然后就可以匿名发信了!

图 6

  解决方法:只要在Foxmail中按CTRL+I键就可以发现真正的发信人了。

  使用过Foxmail4.2以上版本的朋友都会发现,当你在地址栏输入电子邮件地址时,刚输入前几个字符,曾经使用过的邮件地址便会自动出现在收件人框中,这便是Foxmail4.2提供的“自动补全”功能。该功能对于输入一些较长的邮件地址确实提供了许多方便,然而这也会暴露你的私人信息。比方说,你刚刚用过Foxmail给以前的女友发送了信件,而这个信箱现在的女友,如果她使用自动补全功能在收信人栏中输入前女友信箱的前几个字符,那么她就会知道你曾发送过信件。结果怎样你能告诉我吗?这个例子引发的只是个小问题,但如果是商业用户,你的竞争对手如果利用Foxmail的“自动补全”功能得到了你的客户的邮件地址,那么引发的问题就大了。为了达到保护个人隐私的目的,需要将这些自动补全的信息删除,该怎么办呢?

  解决方法:在Foxmail的安装目录中找到“Foxmail.adc”文件(默认安装目录C:\Program Files\Foxmail),用记事本程序将其打开,将敏感信息删除,然后存盘关闭记事本程序即可。

  九、在显示HTML文档时继承IE的所有漏洞解决办法

  由于HTML文档具有格式优美、表现力强等优点,因而Foxmail也提供了采用HTML格式来处理邮件的功能。但Foxmail在显示HTML文档时是直接调用IE的内核(必须保证已经安装了IE 3.0或以上版本),因此此时的Foxmail也就间接地“继承”了IE的所有漏洞,此时别人就可以利用HTML文件攻击你了。

  解决方法:给IE打补丁,使用最新版IE,然后在Foxmail中用鼠标右键点击选定的账户,在弹出菜单中选择“属性”,找到“字体与显示”项,将“使用嵌入式IE浏览器显示HTML邮件”和“预览”签名的“√”取消即可(图7)。

图 7

  十、Foxmial操作日志全泄露漏洞解决办法

  打开Foxmail的安装目录,你会看到FoxInfo.log和FoxHot.log两个文件,其中FoxInfo.log记录了你使用Foxmail时的操作日志,而FoxHot.log则记录了你使用Foxmail中自带的Hotmail邮件代理程序时的操作日志。使用记事本打开这两个文件,则我们的所有隐私就会暴露无疑。可以轻易知道你何时往哪一个邮箱发了邮件,还能知道你几时从哪一个邮箱收到了邮件,是不是很吓人?

  解决办法:在公用电脑上使用Foxmail完毕,把这两个文件彻底删除就可以了。

  作为拥有庞大用户群的优秀软件,作为国产软件的骄傲,Foxmail存在的种种安全隐患的确令人有些失望,希望软件开放商能尽快解决这些问题。不过,虽然存在着上述的种种问题,但Foxmail的进步也是有目共睹的,因此我们坚信:Foxmail的未来将是一片光明!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章