作为最有名的国产电子邮件客户端软件,FoxMail因其设计优秀、体贴用户、使用方便,提供全面而强大的邮件处理功能,以及很高的运行效率等特点,赢得了广大用户的青睐,使用Foxmail的用户非常多。与微软的Outlook EXPress一样,Foxmail也存在着许多安全隐患!
一、Foxmial帐号转换漏洞解决办法 在Foxmail中可以为不同的使用者建立不同的账户,每个帐户可以拥有自己的口令,来保护自己的信箱。但是,这个口令保护并不安全,用下面的方法可以可以轻松绕过口令保护,进入别人的信箱。 首先,让我们来了解一下Foxmail中设置口令的方法。为进一步保护用户邮件的安全,Foxmail同时提供了对帐户和邮箱的双重口令保护功能。我们在选择自己的帐户之后,只需执行“帐户”菜单的“访问口令”命令,打开“口令”对话框(图1),然后再输入适当的口令即可为自己的帐户设置密码。另外,Foxmail还允许用户为某个邮箱设置密码(主要是指为用户的自定义邮箱设置密码,Foxmail的系统邮箱如“收件箱”等无法设置密码),以进一步的保护自己信息的安全。为此,我们只需选择需要加密的邮箱,然后执行“邮箱”菜单的“加密”命令,打开“口令”对话框并输入适当的密码即可。 图 1 接下来,开始我们的“工作”。假设我们要侵入的账户名为lUCky_test,设有电子邮件地址为
[email protected],邮箱密码为12345。下面我们就可以开始了。 1、打开Foxmail,在“帐户”里边新建立一个帐户,用户名可以任意,我们假设新建的账户名为123,完成后退出Foxmail。 2、打开“资源管理器”或“我的电脑”,找到Foxmail文件夹,如果采用默认安装方式,一般在C:\ProgramFiles\Foxmail下。打开里面的“Mail”文件夹,你会发现这里有许多以账户名命名的文件夹,打开新建的“123”文件夹,里边有个名为“account.stg”的文件,把它复制到你想侵入的账户的lucky_test目录里,直接覆盖原来的“account.stg”文件。 3、重新运行Foxmail,点击名为lucky_test的账户,呵呵,不会再向你问口令了!直接就可以进入该信箱,里面的信件可以一览无余! 特别说明:如果你是忘记了自己的某个账户口令,则不要向上面那么“暴力”,在新建账户时,你所设置的POP3服务器和SMTP服务器必须和以前的账户是一样的。如果你对新建帐户设置了访问口令,如“abc”,那么当你将新建账户文件夹下的“account.stg”文件,拷贝到忘记了口令的那个账户对应的文件夹下后,则后者现在的访问口令也为“abc”。 其实,我们可以更简单一点侵入设有口令的账户,浏览别人的信件。方法是:进入Mail文件夹下你想侵入的账户对应的文件夹,将其中的account.stg文件更名或删除,然后运行Foxmail,你会发现该信箱上原来的小“锁头”不见了(加有口令的账户会带有红色小“锁头”标志)!此时不需要任何密码就可以看到被保护的信件! 解决方法:如果你是在公共环境下使用Foxmail那就要小心了,最保险的方法是使用Foxmail以后,将你的帐户所对应的文件夹删除。或者在建立帐户时,邮箱路径不要选择默认的,而是输入一个自己才知道的,如C:\windows\system\window的路径,哈哈,在系统文件夹下,谁敢乱动?再保险一点,找到您新建的信箱文件夹后,点击鼠标邮件,在弹出菜单中选择“属性”,将文件夹设为“隐藏”,别人想找你的文件夹也就更费力气了。除此以外,再使用WinZip对该文件夹进行压缩,对压缩后的ZIP文件加上一个长一点的访问口令,使用时将其展开,使用完毕再如法炮制即可。其实用户名帐户管理不是一个很好的办法,建议作者能够参考一下263快信Winbox或OE的帐户管理方法,或许能使软件的安全性更高!
二、Foxmial账户口令明文对比漏洞解决办法 Foxmail在进行账户口令比较时实际上是明文对比,这样,别人就可以用SoftICE、TRW2000等动态调试软件跟踪,得到账户口令简直是易如反掌!实际上,网上流行的Foxmail账户破解工具就是利用此漏洞制作出来的。具体的漏洞发现方法就不多说了,因为需要您懂得一定的汇编知识,并且要使用TRW2000或SoftICE等反汇编软件,不过请相信我,只要是具备上述知识的人,最多只要5分钟就可以得到Foxmail的账户口令明文!这样要入侵我们的账户是不是非常容易! 而且,由于Foxmail采用明文传送邮件,这使得黑客可以用嗅探软件得到邮箱密码或信件内容。举个例子,在局域网中的任何一台机器上运行NetXRay这个高级分组纠错软件,点击“Capture”面板中的“Capture Setting”按钮,然后选择“Advance Filter”选项卡,点击“IP→TCP”项,将其展开,进行过滤设置,选中的协议NetXRay就会过滤掉。之所有要进行过滤设置,是因为如果不进行那将不利于分析结果,因为NetXRay捕获到的数据包非常多,肯定会让你头痛不已的。由于Foxmail使用POP协议,所以除了POP协议外,其它协议全部选中(图2)。 图 2 接着,在局域网内任意机器上用Foxmail收发邮件。之后,回到运行NetXRay的机器,点击“Capture”面板中的“End And View”信息按钮,查看捕获的数据。除了能看到收发邮件双方所使用的IP地址和端口号外,还能发现刚才用Foxmail收发信件用的信箱名及其口令。 解决办法:信箱名和口令会被捕获,是由于POP协议是采用明文传送的结果,不完全是Foxmail的错,其它邮件软件如OE等在嗅探软件面前也会难以“幸免”。因此建议您发现有NetXRay等软件运行时,不要使用Foxmail收发邮件。当然,如果你打算用黑客软件攻击对方,使其“完蛋”^_^,那就是你的事了。而对于逆向软件的跟踪调试,建议博大公司能采取更严格的加密措施。如给软件加壳,对逆向软件采取防范措施,加入花指令,改进软件加密算法不用明文对比等,这些需要软件开放商来解决,不是我们读者的事了。对普通用户来说,如果你是在公共场所上网,使用完Foxmail后建议您删除你的账户,这样就不会有这个问题发生了。
三、Foxmial冒名发信漏洞解决办法 将有口令保护账户对应文件夹下的Account.stg文件删除或改名,虽然可以查看别人的信件,但由于账户的邮件服务器信息也会随之丢失,所以非法访问者无法冒名发信。但要想冒名发信还是有办法的,即便是加有口令的账户也可以。 方法很简单,把那个加密的账户设置为Foxmail的默认账户即可(将某个账户调整到账户列表的最顶端,即成为默认账户)。我们可通过单击“查看”菜单中的“显示账户调节”选项,然后单击账户列表下面的“上移”按钮使之向上移动,直到移动到最顶端。接着在“我的电脑”中随便选择一个盘符,假设是C盘,在C盘下任意一个文件上单击鼠标右键,在弹出菜单中选择“发送到→Foxmail”命令,此时会自动打开该加密账户的“写邮件”窗口,而你选定的C盘下的文件会作为附件加入到附件中。填入收件人地址,编辑好邮件内容,单击“发送”,一封冒名邮件就发出了。是不是太容易了? 解决方法:使用完毕,选中你设定的账户,点击“账户”菜单下的“删除”将该账户删除即可,下次使用可以重新建立账户。
四、地址簿暴露漏洞 继续上一步,在“写邮件”窗口中单击“收件人”或“抄送”按钮,可以打开“选择地址”对话框,打开“地址簿”下拉列表,你会发现地址簿里的联系人的地址都在这里了。单击“新建”按钮,可以往地址簿里添加联系人;单击“属性”,还可以查看联系人的详细资料。 另外Foxmail在保存地址簿和邮件时,也未做任何加密处理。进入Foxmail\Address目录,其中有很多以.IND和.BOX为扩展名的文件,用记事本任意打开一个.IND文件,虽然有乱码,但仍能清楚地看到其中的E-mail地址。再用记事本打开对应的.BOX文件,你就可以查看联系人的详细资料了。 解决方法:同一、三两个漏洞的解决方法。
五、Foxmail邮箱密码加密密文不保漏洞解决办法 为什么将Account.stg这个文件复制到别人的账户文件夹下,就有这么大的“威力”呢?用“记事本”打开该文件看看就明白了(图3)! 图 3 事实上,你在Foxmail的“帐户→属性”菜单中设置的所有内容几乎都包括在其中了(如果你细心的话,会发现“属性”中的“模板”并没有包含在内),其中也包括了经过加密的信箱密码密文,也就是“POP3PassWord=”后面的部分。 而众所周知,Foxmail的加密密钥是“~draGon~”,Foxmail就是用它来加密我们设定的邮箱密码。那么如何将密文转换为明文呢?只要把~draGon~这个单词对应的ASCII码:7E 64 72 61 47 6F 6E 7E给记下来,再将口令的密文两两分开,经过一番简单的异或运算就可以得到密码明文!具体方法就不多说了,毕竟我们这里不是教大家怎样破解Foxmail的邮箱密码。那么别人怎么会知道我们的信箱的口令长度为几位呢?很简单,只要用密文长度÷2再减去1就可以得到了。 解决方法:在新建账户时不要选择保存密码,如果已经选择了,可以右击账户,在弹出菜单中选择“属性”,会出现“账户属性”窗口,选择“邮件服务器” (图4),然后将“密码”栏中的密码清除即可。这样,当别人再打开account.stg文件时,会发现“POP3Password=”后面是空空如也,现在就不怕别人发现你的密码了。 图 4
六、Foxmial已
[1] [2]
(出处:http://www.sheup.com)
[1] [2]