我是网易163邮箱的一个老用户,网易推出闪电邮已经有一段时日了,最近我出于好奇便下载用了用。以前,我是自己制作了一个网易邮箱的登录器,它是基于构造包含登录用户名和密码URL来实现的,但是这样并不是很安全,如果有人嗅探的话,帐户就不安全了,所以我出于安全考虑才决定试用这个闪电邮,但经过我的简单研究,发现它似乎存在一些安全缺陷,详细情况请听我慢慢道来。
想必许多朋友都在使用它,我们先来新建一个帐户,帐户名就填我的网易邮箱,密码也要填写上,接下来我们该思考一个问题了,这个程序不需要你每次输入密码打开就可以收发邮件,那么密码就一定是存储在本地电脑中的,那么会是在哪里呢?是在注册表里?还是在某个文件里面?带着疑问我就使用主动防御软件监视了注册表的修改情况,但一无所获,又使用Filemon监视了创建帐户的全过程,但只看到一大堆文件被创建了,看来只有自己到安装目录下去探秘了。
借着Filemon的监视信息,我们可以知道每个账户信息都被保存在了一个目录中。目录名也就是帐号的邮箱地址,来到安装目录下,发现了一个名为account的目录,进去之后就是帐户目录了,里面的文件有很多。我只能根据名称来判断哪些文件可能与帐户有关,直到找到一个名为Account.stg的文件,我使用EditPlus打开后,当时就心里一喜,这应该就是我要找的文件了,帐户名列出来了,但是并没有明文的密码,我又仔细观察这一串字符“dGV4dF8weDEyMzQINg=”,聪明的你应该想到什么了吧?这不是BASE64加密方式吗?难道程序将我们设定的帐户密码使用BASE64算法加密后存储的?为了验证我的猜测,我特地找了一个Base64算法模块,自己制作了一个转换程序,转换结果与我的猜测完全吻合,这个闪电邮完全是采用可逆的BASE64加密算法来加密我们的密码的,大家也可以自己下载这类编码工具检测一下。
以上就是我的发现,可怕的是这个BASE64算法是可逆的,拿到这个也就相当于得到一个网易邮箱了,使用这个闪电邮的大家们可要小心了。个人认为这个加密后转存密码的过程可以再做复杂点,比如采用二次MD5,这样不可逆的算法岂不是更好?
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法破解行为。