作為最有名的國產電子郵件客戶端軟件,Foxmail因其設計優秀、體貼用戶、使用方便,提供全面而強大的郵件處理功能,以及很高的運行效率等特點,贏得了廣大用戶的青睐,使用Foxmail的用戶非常多。與微軟的Outlook Express一樣,Foxmail也存在著許多安全隱患! 一、Foxmial帳號轉換漏洞解決辦法 在Foxmail中可以為不同的使用者建立不同的賬戶,每個帳戶可以擁有自己的口令,來保護自己的信箱。但是,這個口令保護並不安全,用下面的方法可以可以輕松繞過口令保護,進入別人的信箱。 首先,讓我們來了解一下Foxmail中設置口令的方法。為進一步保護用戶郵件的安全,Foxmail同時提供了對帳戶和郵箱的雙重口令保護功能。我們在選擇自己的帳戶之後,只需執行“帳戶”菜單的“訪問口令”命令,打開“口令”對話框(圖1),然後再輸入適當的口令即可為自己的帳戶設置密碼。另外,Foxmail還允許用戶為某個郵箱設置密碼(主要是指為用戶的自定義郵箱設置密碼,Foxmail的系統郵箱如“收件箱”等無法設置密碼),以進一步的保護自己信息的安全。為此,我們只需選擇需要加密的郵箱,然後執行“郵箱”菜單的“加密”命令,打開“口令”對話框並輸入適當的密碼即可。 圖 1 接下來,開始我們的“工作”。假設我們要侵入的賬戶名為lucky_test,設有電子郵件地址為[email protected],郵箱密碼為12345。下面我們就可以開始了。 1、打開Foxmail,在“帳戶”裡邊新建立一個帳戶,用戶名可以任意,我們假設新建的賬戶名為123,完成後退出Foxmail。 2、打開“資源管理器”或“我的電腦”,找到Foxmail文件夾,如果采用默認安裝方式,一般在C:\ProgramFiles\Foxmail下。打開裡面的“Mail”文件夾,你會發現這裡有許多以賬戶名命名的文件夾,打開新建的“123”文件夾,裡邊有個名為“account.stg”的文件,把它復制到你想侵入的賬戶的lucky_test目錄裡,直接覆蓋原來的“account.stg”文件。 3、重新運行Foxmail,點擊名為lucky_test的賬戶,呵呵,不會再向你問口令了!直接就可以進入該信箱,裡面的信件可以一覽無余! 特別說明:如果你是忘記了自己的某個賬戶口令,則不要向上面那麼“暴力”,在新建賬戶時,你所設置的POP3服務器和SMTP服務器必須和以前的賬戶是一樣的。如果你對新建帳戶設置了訪問口令,如“abc”,那麼當你將新建賬戶文件夾下的“account.stg”文件,拷貝到忘記了口令的那個賬戶對應的文件夾下後,則後者現在的訪問口令也為“abc”。 其實,我們可以更簡單一點侵入設有口令的賬戶,浏覽別人的信件。方法是:進入Mail文件夾下你想侵入的賬戶對應的文件夾,將其中的account.stg文件更名或刪除,然後運行Foxmail,你會發現該信箱上原來的小“鎖頭”不見了(加有口令的賬戶會帶有紅色小“鎖頭”標志)!此時不需要任何密碼就可以看到被保護的信件! 解決方法:如果你是在公共環境下使用Foxmail那就要小心了,最保險的方法是使用Foxmail以後,將你的帳戶所對應的文件夾刪除。或者在建立帳戶時,郵箱路徑不要選擇默認的,而是輸入一個自己才知道的,如C:\windows\system\window的路徑,哈哈,在系統文件夾下,誰敢亂動?再保險一點,找到您新建的信箱文件夾後,點擊鼠標郵件,在彈出菜單中選擇“屬性”,將文件夾設為“隱藏”,別人想找你的文件夾也就更費力氣了。除此以外,再使用WinZip對該文件夾進行壓縮,對壓縮後的ZIP文件加上一個長一點的訪問口令,使用時將其展開,使用完畢再如法炮制即可。其實用戶名帳戶管理不是一個很好的辦法,建議作者能夠參考一下263快信Winbox或OE的帳戶管理方法,或許能使軟件的安全性更高! 二、Foxmial賬戶口令明文對比漏洞解決辦法 Foxmail在進行賬戶口令比較時實際上是明文對比,這樣,別人就可以用SoftICE、TRW2000等動態調試軟件跟蹤,得到賬戶口令簡直是易如反掌!實際上,網上流行的Foxmail賬戶破解工具就是利用此漏洞制作出來的。具體的漏洞發現方法就不多說了,因為需要您懂得一定的匯編知識,並且要使用TRW2000或SoftICE等反匯編軟件,不過請相信我,只要是具備上述知識的人,最多只要5分鐘就可以得到Foxmail的賬戶口令明文!這樣要入侵我們的賬戶是不是非常容易! 而且,由於Foxmail采用明文傳送郵件,這使得黑客可以用嗅探軟件得到郵箱密碼或信件內容。舉個例子,在局域網中的任何一台機器上運行NetXRay這個高級分組糾錯軟件,點擊“Capture”面板中的“Capture Setting”按鈕,然後選擇“Advance Filter”選項卡,點擊“IP→TCP”項,將其展開,進行過濾設置,選中的協議NetXRay就會過濾掉。之所有要進行過濾設置,是因為如果不進行那將不利於分析結果,因為NetXRay捕獲到的數據包非常多,肯定會讓你頭痛不已的。由於Foxmail使用POP協議,所以除了POP協議外,其它協議全部選中(圖2)。 圖 2 接著,在局域網內任意機器上用Foxmail收發郵件。之後,回到運行NetXRay的機器,點擊“Capture”面板中的“End And View”信息按鈕,查看捕獲的數據。除了能看到收發郵件雙方所使用的IP地址和端口號外,還能發現剛才用Foxmail收發信件用的信箱名及其口令。 解決辦法:信箱名和口令會被捕獲,是由於POP協議是采用明文傳送的結果,不完全是Foxmail的錯,其它郵件軟件如OE等在嗅探軟件面前也會難以“幸免”。因此建議您發現有NetXRay等軟件運行時,不要使用Foxmail收發郵件。當然,如果你打算用黑客軟件攻擊對方,使其“完蛋”^_^,那就是你的事了。而對於逆向軟件的跟蹤調試,建議博大公司能采取更嚴格的加密措施。如給軟件加殼,對逆向軟件采取防范措施,加入花指令,改進軟件加密算法不用明文對比等,這些需要軟件開放商來解決,不是我們讀者的事了。對普通用戶來說,如果你是在公共場所上網,,使用完Foxmail後建議您刪除你的賬戶,這樣就不會有這個問題發生了。
三、Foxmial冒名發信漏洞解決辦法 將有口令保護賬戶對應文件夾下的Account.stg文件刪除或改名,雖然可以查看別人的信件,但由於賬戶的郵件服務器信息也會隨之丟失,所以非法訪問者無法冒名發信。但要想冒名發信還是有辦法的,即便是加有口令的賬戶也可以。 方法很簡單,把那個加密的賬戶設置為Foxmail的默認賬戶即可(將某個賬戶調整到賬戶列表的最頂端,即成為默認賬戶)。我們可通過單擊“查看”菜單中的“顯示賬戶調節”選項,然後單擊賬戶列表下面的“上移”按鈕使之向上移動,直到移動到最頂端。接著在“我的電腦”中隨便選擇一個盤符,假設是C盤,在C盤下任意一個文件上單擊鼠標右鍵,在彈出菜單中選擇“發送到→Foxmail”命令,此時會自動打開該加密賬戶的“寫郵件”窗口,而你選定的C盤下的文件會作為附件加入到附件中。填入收件人地址,編輯好郵件內容,單擊“發送”,一封冒名郵件就發出了。是不是太容易了? 解決方法:使用完畢,選中你設定的賬戶,點擊“賬戶”菜單下的“刪除”將該賬戶刪除即可,下次使用可以重新建立賬戶。 四、地址簿暴露漏洞 繼續上一步,在“寫郵件”窗口中單擊“收件人”或“抄送”按鈕,可以打開“選擇地址”對話框,打開“地址簿”下拉列表,你會發現地址簿裡的聯系人的地址都在這裡了。單擊“新建”按鈕,可以往地址簿裡添加聯系人;單擊“屬性”,還可以查看聯系人的詳細資料。 另外Foxmail在保存地址簿和郵件時,也未做任何加密處理。進入Foxmail\Address目錄,其中有很多以.IND和.BOX為擴展名的文件,用記事本任意打開一個.IND文件,雖然有亂碼,但仍能清楚地看到其中的E-mail地址。再用記事本打開對應的.BOX文件,你就可以查看聯系人的詳細資料了。 解決方法:同一、三兩個漏洞的解決方法。 五、Foxmail郵箱密碼加密密文不保漏洞解決辦法 為什麼將Account.stg這個文件復制到別人的賬戶文件夾下,就有這麼大的“威力”呢?用“記事本”打開該文件看看就明白了(圖3)! 圖 3 事實上,你在Foxmail的“帳戶→屬性”菜單中設置的所有內容幾乎都包括在其中了(如果你細心的話,會發現“屬性”中的“模板”並沒有包含在內),其中也包括了經過加密的信箱密碼密文,也就是“POP3Password=”後面的部分。 而眾所周知,Foxmail的加密密鑰是“~draGon~”,Foxmail就是用它來加密我們設定的郵箱密碼。那麼如何將密文轉換為明文呢?只要把~draGon~這個單詞對應的ASCII碼:7E 64 72 61 47 6F 6E 7E給記下來,再將口令的密文兩兩分開,經過一番簡單的異或運算就可以得到密碼明文!具體方法就不多說了,畢竟我們這裡不是教大家怎樣破解Foxmail的郵箱密碼。那麼別人怎麼會知道我們的信箱的口令長度為幾位呢?很簡單,只要用密文長度÷2再減去1就可以得到了。 解決方法:在新建賬戶時不要選擇保存密碼,如果已經選擇了,可以右擊賬戶,在彈出菜單中選擇“屬性”,會出現“賬戶屬性”窗口,選擇“郵件服務器” (圖4),然後將“密碼”欄中的密碼清除即可。這樣,當別人再打開account.stg文件時,會發現“POP3Password=”後面是空空如也,現在就不怕別人發現你的密碼了。 圖 4 六、Foxmial已
