文/小小
二、Foxmial账户口令明文对比漏洞解决办法
Foxmail在进行账户口令比较时实际上是明文对比,这样,别人就可以用SoftICE、TRW2000等动态调试软件跟踪,得到账户口令简直是易如反掌!实际上,网上流行的Foxmail账户破解工具就是利用此漏洞制作出来的。具体的漏洞发现方法就不多说了,因为需要您懂得一定的汇编知识,并且要使用TRW2000或SoftICE等反汇编软件,不过请相信我,只要是具备上述知识的人,最多只要5分钟就可以得到Foxmail的账户口令明文!这样要入侵我们的账户是不是非常容易!
而且,由于Foxmail采用明文传送邮件,这使得黑客可以用嗅探软件得到邮箱密码或信件内容。举个例子,在局域网中的任何一台机器上运行NetXRay这个高级分组纠错软件,点击“Capture”面板中的“Capture Setting”按钮,然后选择“Advance Filter”选项卡,点击“IP→TCP”项,将其展开,进行过滤设置,选中的协议NetXRay就会过滤掉。之所有要进行过滤设置,是因为如果不进行那将不利于分析结果,因为NetXRay捕获到的数据包非常多,肯定会让你头痛不已的。由于Foxmail使用POP协议,所以除了POP协议外,其它协议全部选中(图2)。
图 2
接着,在局域网内任意机器上用Foxmail收发邮件。之后,回到运行NetXRay的机器,点击“Capture”面板中的“End And View”信息按钮,查看捕获的数据。除了能看到收发邮件双方所使用的IP地址和端口号外,还能发现刚才用Foxmail收发信件用的信箱名及其口令。
解决办法:信箱名和口令会被捕获,是由于POP协议是采用明文传送的结果,不完全是Foxmail的错,其它邮件软件如OE等在嗅探软件面前也会难以“幸免”。因此建议您发现有NetXRay等软件运行时,不要使用Foxmail收发邮件。当然,如果你打算用黑客软件攻击对方,使其“完蛋”^_^,那就是你的事了。而对于逆向软件的跟踪调试,建议博大公司能采取更严格的加密措施。如给软件加壳,对逆向软件采取防范措施,加入花指令,改进软件加密算法不用明文对比等,这些需要软件开放商来解决,不是我们读者的事了。对普通用户来说,如果你是在公共场所上网,使用完Foxmail后建议您删除你的账户,这样就不会有这个问题发生了。
三、Foxmial冒名发信漏洞解决办法
将有口令保护账户对应文件夹下的Account.stg文件删除或改名,虽然可以查看别人的信件,但由于账户的邮件服务器信息也会随之丢失,所以非法访问者无法冒名发信。但要想冒名发信还是有办法的,即便是加有口令的账户也可以。
方法很简单,把那个加密的账户设置为Foxmail的默认账户即可(将某个账户调整到账户列表的最顶端,即成为默认账户)。我们可通过单击“查看”菜单中的“显示账户调节”选项,然后单击账户列表下面的“上移”按钮使之向上移动,直到移动到最顶端。接着在“我的电脑”中随便选择一个盘符,假设是C盘,在C盘下任意一个文件上单击鼠标右键,在弹出菜单中选择“发送到→Foxmail”命令,此时会自动打开该加密账户的“写邮件”窗口,而你选定的C盘下的文件会作为附件加入到附件中。填入收件人地址,编辑好邮件内容,单击“发送”,一封冒名邮件就发出了。是不是太容易了?
解决方法:使用完毕,选中你设定的账户,点击“账户”菜单下的“删除”将该账户删除即可,下次使用可以重新建立账户。
[上一页] [1] [2] [3] [4] [5] [下一页]
