壹、Foxmial帳號轉換漏洞解決辦法
在Foxmail中可以為不同的使用者建立不同的賬戶,每個帳戶可以擁有自己的口令,來保護自己的信箱。但是,這個口令保護並不安全,用下面的方法可以可以輕松繞過口令保護,進入別人的信箱。
首先,讓我們來了解壹下Foxmail中設置口令的方法。為進壹步保護用戶郵件的安全,Foxmail同時提供了對帳戶和郵箱的雙重口令保護功能。我們在選擇自己的帳戶之後,只需執行“帳戶”菜單的“訪問口令”命令,打開“口令”對話框,然後再輸入適當的口令即可為自己的帳戶設置密碼。另外,Foxmail還允許用戶為某個郵箱設置密碼(主要是指為用戶的自定義郵箱設置密碼,Foxmail的系統郵箱如“收件箱”等無法設置密碼),以進壹步的保護自己信息的安全。為此,我們只需選擇需要加密的郵箱,然後執行“郵箱”菜單的“加密”命令,打開“口令”對話框並輸入適當的密碼即可。
接下來,開始我們的“工作”。假設我們要侵入的賬戶名為lucky_test,設有電子郵件地址為lucky_test@263.net,郵箱密碼為12345。下面我們就可以開始了。
1、打開Foxmail,在“帳戶”裏邊新建立壹個帳戶,用戶名可以任意,我們假設新建的賬戶名為123,完成後退出Foxmail。
2、打開“資源管理器”或“我的電腦”,找到Foxmail文件夾,如果采用默認安裝方式,壹般在C:ProgramFilesFoxmail下。打開裏面的“Mail”文件夾,妳會發現這裏有許多以賬戶名命名的文件夾,打開新建的“123”文件夾,裏邊有個名為“account.stg”的文件,把它復制到妳想侵入的賬戶的lucky_test目錄裏,直接覆蓋原來的“account.stg”文件。
3、重新運行Foxmail,點擊名為lucky_test的賬戶,呵呵,不會再向妳問口令了!直接就可以進入該信箱,裏面的信件可以壹覽無余!
特別說明:如果妳是忘記了自己的某個賬戶口令,則不要向上面那麽“暴力”,在新建賬戶時,妳所設置的POP3服務器和SMTP服務器必須和以前的賬戶是壹樣的。如果妳對新建帳戶設置了訪問口令,如“abc”,那麽當妳將新建賬戶文件夾下的“account.stg”文件,拷貝到忘記了口令的那個賬戶對應的文件夾下後,則後者現在的訪問口令也為“abc”。
其實,我們可以更簡單壹點侵入設有口令的賬戶,瀏覽別人的信件。方法是:進入Mail文件夾下妳想侵入的賬戶對應的文件夾,將其中的account.stg文件更名或刪除,然後運行Foxmail,妳會發現該信箱上原來的小“鎖頭”不見了(加有口令的賬戶會帶有紅色小“鎖頭”標誌)!此時不需要任何密碼就可以看到被保護的信件!
解決方法:如果妳是在公***環境下使用Foxmail那就要小心了,最保險的方法是使用Foxmail以後,將妳的帳戶所對應的文件夾刪除。或者在建立帳戶時,郵箱路徑不要選擇默認的,而是輸入壹個自己才知道的,如C:windowssystemwindow的路徑,哈哈,在系統文件夾下,誰敢亂動?再保險壹點,找到您新建的信箱文件夾後,點擊鼠標郵件,在彈出菜單中選擇“屬性”,將文件夾設為“隱藏”,別人想找妳的文件夾也就更費力氣了。除此以外,再使用WinZip對該文件夾進行壓縮,對壓縮後的ZIP文件加上壹個長壹點的訪問口令,使用時將其展開,使用完畢再如法炮制即可。其實用戶名帳戶管理不是壹個很好的辦法,建議作者能夠參考壹下263快信Winbox或OE的帳戶管理方法,或許能使軟件的安全性更高!
二、Foxmial賬戶口令明文對比漏洞解決辦法
Foxmail在進行賬戶口令比較時實際上是明文對比,這樣,別人就可以用SoftICE、TRW2000等動態調試軟件跟蹤,得到賬戶口令簡直是易如反掌!實際上,網上流行的Foxmail賬戶破解工具就是利用此漏洞制作出來的。具體的漏洞發現方法就不多說了,因為需要您懂得壹定的匯編知識,並且要使用TRW2000或SoftICE等反匯編軟件,不過請相信我,只要是具備上述知識的人,最多只要5分鐘就可以得到Foxmail的賬戶口令明文!這樣要入侵我們的賬戶是不是非常容易!
而且,由於Foxmail采用明文傳送郵件,這使得黑客可以用嗅探軟件得到郵箱密碼或信件內容。舉個例子,在局域網中的任何壹臺機器上運行NetXRay這個高級分組糾錯軟件,點擊“Capture”面板中的“Capture Setting”按鈕,然後選擇“Advance Filter”選項卡,點擊“IP→TCP”項,將其展開,進行過濾設置,選中的協議NetXRay就會過濾掉。之所有要進行過濾設置,是因為如果不進行那將不利於分析結果,因為NetXRay捕獲到的數據包非常多,肯定會讓妳頭痛不已的。由於Foxmail使用POP協議,所以除了POP協議外,其它協議全部選中。
接著,在局域網內任意機器上用Foxmail收發郵件。之後,回到運行NetXRay的機器,點擊“Capture”面板中的“End And View”信息按鈕,查看捕獲的數據。除了能看到收發郵件雙方所使用的IP地址和端口號外,還能發現剛才用Foxmail收發信件用的信箱名及其口令。
解決辦法:信箱名和口令會被捕獲,是由於POP協議是采用明文傳送的結果,不完全是Foxmail的錯,其它郵件軟件如OE等在嗅探軟件面前也會難以“幸免”。因此建議您發現有NetXRay等軟件運行時,不要使用Foxmail收發郵件。當然,如果妳打算用黑客軟件攻擊對方,使其“完蛋”^_^,那就是妳的事了。而對於逆向軟件的跟蹤調試,建議博大公司能采取更嚴格的加密措施。如給軟件加殼,對逆向軟件采取防範措施,加入花指令,改進軟件加密算法不用明文對比等,這些需要軟件開放商來解決,不是我們讀者的事了。對普通用戶來說,如果妳是在公***場所上網,使用完Foxmail後建議您刪除妳的賬戶,這樣就不會有這個問題發生了。
三、Foxmial冒名發信漏洞解決辦法
將有口令保護賬戶對應文件夾下的Account.stg文件刪除或改名,雖然可以查看別人的信件,但由於賬戶的郵件服務器信息也會隨之丟失,所以非法訪問者無法冒名發信。但要想冒名發信還是有辦法的,即便是加有口令的賬戶也可以。
方法很簡單,把那個加密的賬戶設置為Foxmail的默認賬戶即可(將某個賬戶調整到賬戶列表的最頂端,即成為默認賬戶)。我們可通過單擊“查看”菜單中的“顯示賬戶調節”選項,然後單擊賬戶列表下面的“上移”按鈕使之向上移動,直到移動到最頂端。接著在“我的電腦”中隨便選擇壹個盤符,假設是C盤,在C盤下任意壹個文件上單擊鼠標右鍵,在彈出菜單中選擇“發送到→Foxmail”命令,此時會自動打開該加密賬戶的“寫郵件”窗口,而妳選定的C盤下的文件會作為附件加入到附件中。填入收件人地址,編輯好郵件內容,單擊“發送”,壹封冒名郵件就發出了。是不是太容易了?
解決方法:使用完畢,選中妳設定的賬戶,點擊“賬戶”菜單下的“刪除”將該賬戶刪除即可,下次使用可以重新建立賬戶。
四、地址簿暴露漏洞
繼續上壹步,在“寫郵件”窗口中單擊“收件人”或“抄送”按鈕,可以打開“選擇地址”對話框,打開“地址簿”下拉列表,妳會發現地址簿裏的聯系人的地址都在這裏了。單擊“新建”按鈕,可以往地址簿裏添加聯系人;單擊“屬性”,還可以查看聯系人的詳細資料。
另外Foxmail在保存地址簿和郵件時,也未做任何加密處理。進入FoxmailAddress目錄,其中有很多以.IND和.BOX為擴展名的文件,用記事本任意打開壹個.IND文件,雖然有亂碼,但仍能清楚地看到其中的E-mail地址。再用記事本打開對應的.BOX文件,妳就可以查看聯系人的詳細資料了。
解決方法:同壹、三兩個漏洞的解決方法。
五、Foxmail郵箱密碼加密密文不保漏洞解決辦法
為什麽將Account.stg這個文件復制到別人的賬戶文件夾下,就有這麽大的“威力”呢?用“記事本”打開該文件看看就明白了!
事實上,妳在Foxmail的“帳戶→屬性”菜單中設置的所有內容幾乎都包括在其中了(如果妳細心的話,會發現“屬性”中的“模板”並沒有包含在內),其中也包括了經過加密的信箱密碼密文,也就是“POP3Password=”後面的部分。
而眾所周知,Foxmail的加密密鑰是“~draGon~”,Foxmail就是用它來加密我們設定的郵箱密碼。那麽如何將密文轉換為明文呢?只要把~draGon~這個單詞對應的ASCII碼:7E 64 72 61 47 6F 6E 7E給記下來,再將口令的密文兩兩分開,經過壹番簡單的異或運算就可以得到密碼明文!具體方法就不多說了,畢竟我們這裏不是教大家怎樣破解Foxmail的郵箱密碼。那麽別人怎麽會知道我們的信箱的口令長度為幾位呢?很簡單,只要用密文長度÷2再減去1就可以得到了。
解決方法:在新建賬戶時不要選擇保存密碼,如果已經選擇了,可以右擊賬戶,在彈出菜單中選擇“屬性”,會出現“賬戶屬性”窗口,選擇“郵件服務器” ,然後將“密碼”欄中的密碼清除即可。這樣,當別人再打開account.stg文件時,會發現“POP3Password=”後面是空空如也,現在就不怕別人發現妳的密碼了。
六、Foxmial已刪除郵件存在被恢復的可能
在Foxmail中,當我們刪除了某個郵件之後,該郵件會轉移到“廢件箱”中,若用戶在“廢件箱”中再次執行了刪除操作,該郵件就不會再顯示出來了。不過,這樣做並沒有真正地刪除這些郵件,它們仍然會保存在硬盤上,之所以不顯示出來是因為Foxmail將其打上了刪除標記。而實際上只有在執行了“壓縮”操作之後,系統才會真正將它們刪除。因此,有心人完全可以對這些看似已經被刪除了的郵件進行恢復,從而得到您的秘密!
要想恢復被刪除的郵件,只需右擊“廢件箱”,然後從彈出的快捷菜單中執行“屬性”命令,打開“郵箱屬性”對話框,然後單擊“工具”選項卡,在這裏我們會發現壹個“開始修復”按鈕,單擊該按鈕,刪除的郵件就可以得到恢復。
可能是出於方便用戶的角度考慮,Foxmail中被刪除郵件才存在被恢復的可能,但普通用戶又怎麽會知道該用“壓縮”命令來真正將它們刪除呢?!固然有“幫助”文件可以查詢,但又有幾個人會認認真真地看它呢?!
解決方法:要想確保郵件安全,在刪除郵件之後壹定要記得壓縮郵箱(包括廢件箱及該郵件的原始郵箱),這樣就不會有問題了。
七、利用Foxmail可以發送匿名郵件
在用Foxmail發送郵件時,Foxmail會將用戶的郵件地址作為發件地址和回復地址發送給收件人,但同時,在撰寫新郵件的窗口中Foxmail又提供了“查看→郵件頭”功能,利用該功能我們可以發送匿名郵件。如果被人利用的話,也有壹定的隱患。只需單擊新郵件撰寫窗口的工具欄中的“郵件頭”按鈕,打開“郵件頭”下來菜單,然後分別從中選擇“發件人地址”或“回復地址”命令,系統的新郵件撰寫窗口就會分別多出壹個“發件人”和“回復”地址欄,我們只需在這些工具欄中輸入其它的發件人及回復地址,然後就可以匿名發信了!
解決方法:只要在Foxmail中按CTRL+I鍵就可以發現真正的發信人了。
八、“自動補全”信息會暴露隱私漏洞解決辦法
使用過Foxmail4.2以上版本的朋友都會發現,當妳在地址欄輸入電子郵件地址時,剛輸入前幾個字符,曾經使用過的郵件地址便會自動出現在收件人框中,這便是Foxmail4.2提供的“自動補全”功能。該功能對於輸入壹些較長的郵件地址確實提供了許多方便,然而這也會暴露妳的私人信息。比方說,妳剛剛用過Foxmail給以前的女友發送了信件,而這個信箱現在的女友,如果她使用自動補全功能在收信人欄中輸入前女友信箱的前幾個字符,那麽她就會知道妳曾發送過信件。結果怎樣妳能告訴我嗎?這個例子引發的只是個小問題,但如果是商業用戶,妳的競爭對手如果利用Foxmail的“自動補全”功能得到了妳的客戶的郵件地址,那麽引發的問題就大了。為了達到保護個人隱私的目的,需要將這些自動補全的信息刪除,該怎麽辦呢?
解決方法:在Foxmail的安裝目錄中找到“Foxmail.adc”文件(默認安裝目錄C:Program FilesFoxmail),用記事本程序將其打開,將敏感信息刪除,然後存盤關閉記事本程序即可。
九、在顯示HTML文檔時繼承IE的所有漏洞解決辦法
由於HTML文檔具有格式優美、表現力強等優點,因而Foxmail也提供了采用HTML格式來處理郵件的功能。但Foxmail在顯示HTML文檔時是直接調用IE的內核(必須保證已經安裝了IE 3.0或以上版本),因此此時的Foxmail也就間接地“繼承”了IE的所有漏洞,此時別人就可以利用HTML文件攻擊妳了。
解決方法:給IE打補丁,使用最新版IE,然後在Foxmail中用鼠標右鍵點擊選定的賬戶,在彈出菜單中選擇“屬性”,找到“字體與顯示”項,將“使用嵌入式IE瀏覽器顯示HTML郵件”和“預覽”簽名的“√”取消即可。
十、Foxmial操作日誌全泄露漏洞解決辦法
打開Foxmail的安裝目錄,妳會看到FoxInfo.log和FoxHot.log兩個文件,其中FoxInfo.log記錄了妳使用Foxmail時的操作日誌,而FoxHot.log則記錄了妳使用Foxmail中自帶的Hotmail郵件代理程序時的操作日誌。使用記事本打開這兩個文件,則我們的所有隱私就會暴露無疑。可以輕易知道妳何時往哪壹個郵箱發了郵件,還能知道妳幾時從哪壹個郵箱收到了郵件,是不是很嚇人?
解決辦法:在公用電腦上使用Foxmail完畢,把這兩個文件徹底刪除就可以了。
作為擁有龐大用戶群的優秀軟件,作為國產軟件的驕傲,Foxmail存在的種種安全隱患的確令人有些失望,希望軟件開放商能盡快解決這些問題。不過,雖然存在著上述的種種問題,但Foxmail的進步也是有目***睹的,因此我們堅信:Foxmail的未來將是壹片光明!