警惕!邮箱漏洞也会步步高
自从一年之前263掀起了收费时代的狂潮后,收费邮箱对于我们来说已不再是一件新鲜事了。只是习惯 了“免费用餐”的网民依然乐于享用那也许是ISP施舍给我们的一亩三分地。但是,免费的午餐真的好吃吗?
让我们扮演一次准“黑客”来看看新浪免费邮箱的超级漏洞吧!
你的附件我要看
为了网络传输的安全,用户常常把自己重要的资料放在“附件”里面来发送。收件用户只要右键单击选择“另存为”就可以下载附件了。这一切看起来很正常了,但是在用户保存附件的同时,在本地机器的Temporary Internet Files文件夹下系统自动生成了一个文件的副本。也就是说你下载了一次,但是本地硬盘上却生成了两个一模一样的文件:一个是用户指定了保存位置的文件,另一个就是系统自动生成的。只要在不同的操作系统中找到Temporary Internet Files临时文件夹,别人下载过的附件内容我们也就可以直接查看了。
你的E-mail我挨个看
如果使用过邮箱的上一个用户没有清除“历史纪录”的习惯,我们只要打开“历史记录”,找到相关的项目双击就可以直接打开用户曾经访问过的邮箱网页(其实这个问题很早之前在很多免费邮箱里面都存在的,但是搞不懂作为门户网站的新浪网为什么现在还没有解决)。如果用户清除了“历史记录”也没有关系,打开Temporary Internet Files文件夹,找到一个文件名以rdMail.cgi?开头的临时网页文件,然后双击打开,这时会出现一个警告对话框如右下图:点击“是”按钮就可以看到上一个用户打开过的邮件内容了。注意到了“上一封”,“下一封”超链接了吗,点击它们就可以随便浏览这个粗心家伙的所有邮件了。
你的邮箱借我用用
也许你没有窥探别人隐私的想法,那用别人的邮箱发发邮件吧!首先我们要花点功夫找到一个文件名以mail.cgi?开头的文件,然后在该文件的附近找到一个文件名以rdMail.cgi?开头的临时网页文件(这样做的目的是保证这两个文件是同一个用户的)。用刚才的方法打开找到的以rdMail.cgi?开头的文件,接下来在该窗口的地址栏里面先输入http://mail.sina.com.cn/cgi-bin/,最后把我们找到的那个以mail.cgi?开头文件的完整名称连接在这个地址的后面,也就是http://mail.sina.com.cn/cgi-bin/mail.cgi?5550按一下回车就可以了。看看,是不是完全看到了别人的信箱了呢?你觉得现在可以做些什么了呢?冒名发一个E-mail吧,呵呵!需要注意的是:mail.cgi?后面的数字是服务器随机生成的,不同的用户登录产生的数字不一样,同一用户不同时间登录产生的数字也不一样;也不要直接在随便一个IE的地址栏里面输入刚才拼得的网址,必须按照上述的顺序,否则的话是不能够通过服务器验证的。
大家现在是不是觉得有点恐怖了呢!?那有没有好的解决办法呢?其实很简单:对于我们用户自己,应该养成在公共场合上网后同时清除历史记录和Temporary Internet Files文件夹的习惯;对于互联网服务提供商,有一个真正把用户的利益放在一个合适的位置的态度才是解决问题的根本。这种小儿科的问题产生一年之前都存在,那为什么现在……
俗话说的好:便宜没好货,好货不便宜!我们可以忍受肆无忌惮的弹出窗口,甚至终身“固顶”广告,但是:免费邮件提供商,请你拿出点专业精神,OK?
注:上述方法只可以打开24小时之内前一用户打开过的邮箱网页,24小时之后会出现“您的账号闲置过久,请您重新登录”的服务器验证信息。以上方法只作为研究学习只用,请勿使用该方法非法入侵他人电子邮箱。
|
论坛用户
论坛用户
论坛: 黑客进阶 标题: 警惕!邮箱漏洞也会步步高