不安全的WingBox测试第二版

  用惯了发信软件，当然还是喜欢这种将邮件收到本地来阅读的方式。：）在一次重装系统后，直奔SOHU下载最新的FOXMAIL，无奈网速的原因，下载太慢，就到263首都在线用WEB收信。看见263推出了全新的WingBox测试第二版，想想试试看吧，反正也不大，就1028K的大小！   下载——>安装——>设置，一切如故！运行看看，呵呵，小小的软件也有FOXMAIL的设置“访问口令”一项，还有“远程管理”功能哩！^_^二话不说，就在“帐号属性”里设置了“保存密码”。看看WingBox还有什么新介绍：“……升级了信件存储格式，增强了用户帐号信息及信件的保密性和安全性。……”哦！看看和FOXMAIL还有什么区别？转到WingBox目录，果然找不到帐号目录，这和其它收信软件存储格式的确不一样，这样就不能通过FOXMAIL帐号转换漏洞来盗取密码和邮件了！但想想，到底是测试版，不可能万无一失吧，于是我就在这个软件里开始挑刺，居然也找到了几个BUG! BUG1：通过“远程管理”可以随意处理已建帐号的信件。  帐号有“访问口令”一项，在“远程管理”中却无法起作用，只要设置了“保存密码”，任何人可以在“远程管理”窗口选择“用户列表”里的帐号进行信件收取，而且可以远程删除信件。：（这样居心不良的人就可以得知你的联络信息（发件人、主题、日期），甚者会删除你的信件。 BUG2：密码存储不保密。  在WingBox目录下有dat目录，看看有root.dat文件，习惯性的用“记事本”打开，一堆乱码。往下拉拉，哇塞！不要看走了眼，我的POP登陆密码居然用明文保存的。天，这就是“用户帐号信息的们保密性和安全性”？当然别的文件也有作用哦！ BUG3：通过“远程管理”获取密码。  前面说过通过“保存密码”的“远程管理”可以绕过“访问口令”，是否可以在口令验证过程中做文章呢？回答是肯定的，只要在机器上开启一个密码嗅探软件（有好多的），然后选择“取邮件服务器列表”，密码就出来了。还是赶快通知管理员吧！：） 当然并不是说这个软件不可用，只要用户增强自我保护的安全性，一样可以放心互相联络！^o^