Foxmail安全性分析

聲明：請不要利用本文的任何內容或方法進行破壞，否則由此導致的一切后果自負！

【前言】

前幾天收到一封網友的來信，信件的內容沒有什么，但是奇怪的是Foxmail提示來信
的時候，還有一個漂亮的小圖標，挺有意思的。

開始我還以為又是利用那個**agent搞的玩意，但是仔細一想感覺不是，趕緊翻了一
下Foxmail的幫助，在新增功能中找到了如下內容：

個性圖標簽名郵件
Foxmail在收信，忽然，一個可愛的小動物跑到了你的屏幕上，您一看就知道是
好朋友來信了。用鼠標輕點，小動物立刻幫你把郵件打開。這就是Foxmail提供的個
性圖標簽名郵件功能。

的確是不錯的功能?。海?BR>
由于職業的特點和個人的習慣，我就想看看該功能是不是有什么漏洞?。骸?BR>
【嘗試】

首先，先創建一封個性圖標簽名郵件，具體步驟為：

1. 賬戶->屬性->賬戶屬性>個人信息>在郵件中使用個性圖標（復選）-
>選擇圖標（選擇Foxmail提供的小動畫或其他喜歡的.gif格式的小圖片或者
動畫作為個性簽名）->確定

2. 打開寫郵件窗口， 你會看到剛才選擇的個性圖標。填入一些發信的必要信息，比如：
收件人：analysist@notfound.org
主 題：Hi
內 容：Thiz is a test!

3. 保存。

其次，在發件箱中選中該郵件，然后進行如下操作：文件->導出郵件->另保
存->確定。

最后，用UltraEdit打開該郵件，我們可以看到如下內容：

From: analysist <analysist@notfound.org> //發信人
To: analysist@notfound.org <analysist@notfound.org> //收件人
Subject: Hi //主題
X-mailer: FoxMail 4.0 beta 2 [cn] //郵件客戶端
Mime-Version: 1.0 //MIME版本
Content-Type: multipart/mixed; //MIME類型
boundary="=====000_Dragon220814422407_=====" //指定分界符

This is a multi-part message in MIME format. //注釋？

--=====000_Dragon220814422407_===== //分界符
Content-Type: text/plain; //MIME類型
charset="GB2312" //字符集
Content-Transfer-Encoding: base64 //編碼方式

VGhpeiBpcyBhIHRlc3QhDQo= //信件內容，這里就是base64編碼后的“Thiz is a test!”

-

原文轉自：http://www.anti-gravitydesign.com