|
发信人: xmzw(小米粥) 整理人: snowypeng(2002-05-22 14:44:59), 站内信件 |
|
·白银··yesky 你在用Outlook Express吗?如果你回答“是”,那么你就要小心了,因为有心人可以通过给你发一封邮件,使你发给朋友的信件发到他那里!不信?好!让我们来做个实验,如果你也按我说的去做了,你也可以骗收别人的信件!但请你不要把这个方法用于不正当的途径,否则后果自负。 原理: 其实,这是利用了Outlook Express地址簿的漏洞来实现的。运行你的Outlook Express,点击“工具”->“选项”,在弹出的对话框中点击“发送”标签,你会发现其中有这样一个选项“自动将我的回复对象添加到通讯簿” (英文版对应为“Automatically put people I reply to in my address book”)(图1),此项功能如被激活,Outlook Express会自动将人名和地址对应起来,这就给利用地址簿进行欺骗带来了可能。不幸的是,这个选项恰恰就是Outlook Express的默认设置!因此,绝大多数Outlook Express用户都存在这个漏洞!存在被人骗收邮件的可能!明白了吗?没有?没关系,看完下面的例子你就会明白了。 实验: 假设你和你友及攻击者的信箱分别为[email protected]、[email protected]、[email protected],现在攻击者要让你发给你友的信件发到他的信箱,他会怎么做呢?首先,他会给你发一封如下所示信件: From: "[email protected]" <[email protected]> Reply-To: "[email protected]" <[email protected]> To: a <[email protected]> Subject: how to catch you on Friday? 然后,他将此信发到你的信箱[email protected]。在你看来,收到的这封信,就是你友从[email protected]这个信箱发来的,看到来信你当然要立即回信了,此时,Outlook Express地址簿会将[email protected]作为名字和[email protected]地址对应起来,如果你在“收件人”栏中直接敲进地址[email protected],Outlook会将地址解释成"[email protected]" ,并因此将此信发给他!最可悲的是,在整个过程中你一直被蒙在鼓里,并不清楚发给朋友的信件并没有发到朋友的信箱中,当你还在傻等朋友的回信时,那个攻击者已经在那里饱览你的回信,思量进一步骗你的招数了!现在你知道这个漏洞有多么恐怖了吧。 漏洞解决: 现在要说说如何防止邮件被骗收了。其实这个漏洞只存在于Outlook Express中,并且只对Outlook Exress 5.5SP1及其之前版本起作用。因此如果你不使用Outlook Express或使用Outlook Express5.5SP1以上版本就不会有事。再不然,你可以将 “自动将我的回复对象添加到通讯簿”(英文版对应为“Automatically put people I reply to in my address book”)选项禁止(把它前面的“√”去掉),就可以放心大胆的使用Outlook Express了。 最后声明:现在已经有人利用这个漏洞在骗收信件了,请大家千万要小心!如果您看了这篇文章,请千万不要利用文中所说方法去干破坏,要知道法律可是无情哦。  |
|
[关闭][返回] |