扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet安全频道 2008年12月16日
关键字: Foxmail
作为最有名的国产电子邮件客户端软件,Foxmail因其设计优秀、体贴用户、使用方便,提供全面而强大的邮件处理功能,以及很高的运行效率等特点,赢得了广大用户的青睐,使用Foxmail的用户非常多。与微软的Outlook Express一样,Foxmail也存在着许多安全隐患!
一、Foxmial帐号转换漏洞解决办法
在Foxmail中可以为不同的使用者建立不同的账户,每个帐户可以拥有自己的口令,来保护自己的信箱。但是,这个口令保护并不安全,用下面的方法可以可以轻松绕过口令保护,进入别人的信箱。
首先,让我们来了解一下Foxmail中设置口令的方法。为进一步保护用户邮件的安全,Foxmail同时提供了对帐户和邮箱的双重口令保护功能。我们在选择自己的帐户之后,只需执行“帐户”菜单的“访问口令”命令,打开“口令”对话框(图1),然后再输入适当的口令即可为自己的帐户设置密码。另外,Foxmail还允许用户为某个邮箱设置密码(主要是指为用户的自定义邮箱设置密码,Foxmail的系统邮箱如“收件箱”等无法设置密码),以进一步的保护自己信息的安全。为此,我们只需选择需要加密的邮箱,然后执行“邮箱”菜单的“加密”命令,打开“口令”对话框并输入适当的密码即可。
接下来,开始我们的“工作”。假设我们要侵入的账户名为lucky_test,设有电子邮件地址为lucky_test@263.net,邮箱密码为12345。下面我们就可以开始了。
1、打开Foxmail,在“帐户”里边新建立一个帐户,用户名可以任意,我们假设新建的账户名为123,完成后退出Foxmail。
3、重新运行Foxmail,点击名为lucky_test的账户,呵呵,不会再向你问口令了!直接就可以进入该信箱,里面的信件可以一览无余!
特别说明:如果你是忘记了自己的某个账户口令,则不要向上面那么“暴力”,在新建账户时,你所设置的POP3服务器和SMTP服务器必须和以前的账户是一样的。如果你对新建帐户设置了访问口令,如“abc”,那么当你将新建账户文件夹下的“account.stg”文件,拷贝到忘记了口令的那个账户对应的文件夹下后,则后者现在的访问口令也为“abc”。
解决方法:如果你是在公共环境下使用Foxmail那就要小心了,最保险的方法是使用Foxmail以后,将你的帐户所对应的文件夹删除。或者在建立帐户时,邮箱路径不要选择默认的,而是输入一个自己才知道的,如C:\windows\system\window的路径,哈哈,在系统文件
二、Foxmial账户口令明文对比漏洞解决办法
而且,由于Foxmail采用明文传送邮件,这使得黑客可以用嗅探软件得到邮箱密码或信件内容。举个例子,在局域网中的任何一台机器上运行NetXRay这个高级分组纠错软件,点击“Capture”面板中的“Capture Setting”按钮,然后选择“Advance Filter”选项卡,点击“IP→TCP”项,将其展开,进行过滤设置,选中的协议NetXRay就会过滤掉。之所有要进行过滤设置,是因为如果不进行那将不利于分析结果,因为NetXRay捕获到的数据包非常多,肯定会让你头痛不已的。由于Foxmail使用POP协议,所以除了POP协议外,其它协议全部选中(图2)。
接着,在局域网内任意机器上用Foxmail收发邮件。之后,回到运行NetXRay的机器,点击“Capture”面板中的“End And View”信息按钮,查看捕获的数据。除了能看到收发邮件双方所使用的IP地址和端口号外,还能发现刚才用Foxmail收发信件用的信箱名及其口令。
解决办法:信箱名和口令会被捕获,是由于POP协议是采用明文传送的结果,不完全是Foxmail的错,其它邮件软件如OE等在嗅探软件面前也会难以“幸免”。因此建议您发现有NetXRay等软件运行时,不要使用Foxmail收发邮件。当然,如果你打算用黑客软件攻击对方,使其“完蛋”^_^,那就是你的事了。而对于逆向软件的跟踪调试,建议博大公司能采取更严格的加密措施。如给软件加壳,对逆向软件采取防范措施,加入花指令,改进软件加密算法不用明文对比等,这些需要软件开放商来解决,不是我们读者的事了。对普通用户来说,如果你是在公共场所上网,使用完Foxmail后建议您删除你的账户,这样就不会有这个问题发生了。
三、Foxmial冒名发信漏洞解决办法
将有口令保护账户对应文件夹下的Account.stg文件删除或改名,虽然可以查看别人的信件,但由于账户的邮件服务器信息也会随之丢失,所以非法访问者无法冒名发信。但要想冒名发信还是有办法的,即便是加有口令的账户也可以。
解决方法:使用完毕,选中你设定的账户,点击“账户”菜单下的“删除”将该账户删除即可,下次使用可以重新建立账户。
四、地址簿暴露漏洞
继续上一步,在“写邮件”窗口中单击“收件人”或“抄送”按钮,可以打开“选择地址”对话框,打开“地址簿”下拉列表,你会发现地址簿里的联系人的地址都在这里了。
另外Foxmail在保存地址簿和邮件时,也未做任何加密处理。进入Foxmail\Address目录,其中有很多以.IND和.BOX为扩展名的文件,用记事本任意打开一个.IND文件,虽然有乱码,但仍能清楚地看到其中的E-mail地址。再用记事本打开对应的.BOX文件,你就可以查看联系人的详细资料了。
解决方法:同一、三两个漏洞的解决方法。
五、Foxmail邮箱密码加密密文不保漏洞解决办法
为什么将Account.stg这个文件复制到别人的账户文件夹下,就有这么大的“威力”呢?用“记事本”打开该文件看看就明白了(图3)!
图 3
事实上,你在Foxmail的“帐户→属性”菜单中设置的所有内容几乎都包括在其中了(如果你细心的话,会发现“属性”中的“模板”并没有包含在内),其中也包括了经过加密的信箱密码密文,也就是“POP3Password=”后面的部分。
而众所周知,Foxmail的加密密钥是“~draGon~”,Foxmail就是用它来加密我们设定的邮箱密码。那么如何将密文转换为明文呢?只要把~draGon~这个单词对应的ASCII码:7E 64 72 61 47 6F 6E 7E给记下来,再将口令的密文两两分开,经过一番简单的异或运算就可以得到密码明文!具体方法就不多说了,毕竟我们这里不是教大家怎样破解Foxmail的邮箱密码。那么别人怎么会知道我们的信箱的口令长度为几位呢?很简单,只要用密文长度÷2再减去1就可以得到了。
解决方法:在新建账户时不要选择保存密码,如果已经选择了,可以右击账户,在弹出菜单中选择“属性”,会出现“账户属性”窗口,选择“邮件服务器” (图4),然后将“密码”栏中的密码清除即可。这样,当别人再打开account.stg文件时,会发现“POP3Password=”后面是空空如也,现在就不怕别人发现你的密码了。
图 4
六、Foxmial已删除邮件存在被恢复的可能
在Foxmail中,当我们删除了某个邮件之后,该邮件会转移到“废件箱”中,若用户在“废件箱”中再次执行了删除操作,该邮件就不会再显示出来了。不过,这样做并没有真正地删除这些邮件,它们仍然会保存在硬盘上,之所以不显示出来是因为Foxmail将其打上了删除标记。而实际上只有在执行了“压缩”操作之后,系统才会真正将它们删除。因此,有心人完全可以对这些看似已经被删除了的邮件进行恢复,从而得到您的秘密!
要想恢复被删除的邮件,只需右击“废件箱”,然后从弹出的快捷菜单中执行“属性”命令,打开“邮箱属性”对话框,然后单击“工具”选项卡(图5),在这里我们会发现一个“开始修复”按钮,单击该按钮,删除的邮件就可以得到恢复。
图 5
可能是出于方便用户的角度考虑,Foxmail中被删除邮件才存在被恢复的可能,但普通用户又怎么会知道该用“压缩”命令来真正将它们删除呢?!固然有“帮助”文件可以查询,但又有几个人会认认真真地看它呢?!
解决方法:要想确保邮件安全,在删除邮件之后一定要记得压缩邮箱(包括废件箱及该邮件的原始邮箱),这样就不会有问题了。
七、利用Foxmail可以发送匿名邮件
在用Foxmail发送邮件时,Foxmail会将用户的邮件地址作为发件地址和回复地址发送给收件人,但同时,在撰写新邮件的窗口中Foxmail又提供了“查看→邮件头”功能,利用该功能我们可以发送匿名邮件。如果被人利用的话,也有一定的隐患。只需单击新邮件撰写窗口的工具栏中的“邮件头”按钮,打开“邮件头”下来菜单,然后分别从中选择“发件人地址”或“回复地址”命令,系统的新邮件撰写窗口就会分别多出一个“发件人”和“回复”地址栏(图6),我们只需在这些工具栏中输入其它的发件人及回复地址,然后就可以匿名发信了!
图 6
解决方法:只要在Foxmail中按CTRL+I键就可以发现真正的发信人了。
八、“自动补全”信息会暴露隐私漏洞解决办法
解决方法:在Foxmail的安装目录中找到“Foxmail.adc”文件(默认安装目录C:\Program Files\Foxmail),用记事本程序将其打开,将敏感信息删除,然后存盘关闭记事本程序即可。
九、在显示HTML文档时继承IE的所有漏洞解决办法
由于HTML文档具有格式优美、表现力强等优点,因而Foxmail也提供了采用HTML格式来处理邮件的功能。但Foxmail在显示HTML文档时是直接调用IE的内核(必须保证已经安装了IE 3.0或以上版本),因此此时的Foxmail也就间接地“继承”了IE的所有漏洞,此时别人就可以利用HTML文件攻击你了。
解决方法:给IE打补丁,使用最新版IE,然后在Foxmail中用鼠标右键点击选定的账户,在弹出菜单中选择“属性”,找到“字体与显示”项,将“使用嵌入式IE浏览器显示HTML邮件”和“预览”签名的“√”取消即可(图7)。
图 7
十、Foxmial操作日志全泄露漏洞解决办法
打开Foxmail的安装目录,你会看到FoxInfo.log和FoxHot.log两个文件,其中FoxInfo.log记录了你使用Foxmail时的操作日志,而FoxHot.log则记录了你使用Foxmail中自带的Hotmail邮件代理程序时的操作日志。使用记事本打开这两个文件,则我们的所有隐私就会暴露无疑。可以轻易知道你何时往哪一个邮箱发了邮件,还能知道你几时从哪一个邮箱收到了邮件,是不是很吓人?
解决办法:在公用电脑上使用Foxmail完毕,把这两个文件彻底删除就可以了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者