图 12

图 13

　　漏洞一：邮箱登陆密码存储为明文。

　　安装、设置完毕WingBox，在其安装文件夹下会有个Dat文件夹，打开看会发现有个root.dat文件，这个文件名很可疑呀！用“记事本”打开看看，文件的前面是一堆乱码。往下再看看，哇塞！我的邮箱登陆密码居然用明文保存的。天！这就是软件宣称的“增强了用户帐号信息及信件的保密性和安全性”？这样岂不是任何人都能得到我的邮箱密码？

　　漏洞二：设有“访问口令”的账号信件能被任何人随意处置。

　　点击“账号”菜单下的“访问口令”（图14）或在你的某个账号上点击右键，在右键菜单中选择“访问口令”即可给你的账号添加访问口令，这样任何人如果想看你的信箱中的信件或删除你的信件的话，他必须输入“访问口令”才行。这样的保护好像很安全，不过，263在线显然是疏忽了，因为“访问口令”在“远程邮箱管理”中根本不起作用！正常情况下，我们如果选取了某个账号，然后点击“工具”菜单中的“远程邮箱管理”，这时由于我们设置了“访问口令”，所以应该弹出如图所示的窗口（图15），让我们输入“访问口令”才行，著名的邮件客户端软件Foxmial就是这样设置的，但在Wingbox中就不是这样了，只要设置了“保存密码”，任何人可以在“远程邮箱管理”窗口中选择“用户列表”里的帐号进行信件收取（图16），而且可以远程删除信件。这样别有用心的人就可以得知你的联络信息，如发件人、主题、日期等等，甚者可以删除你的信件。这样的保护是不是太脆弱了呢？！

图 14

图 15

图 16

　　漏洞三：通过“远程管理”获取密码。

　　不仅设有“访问口令”的账号信件能被任何人随意处置，而且可以在口令验证过程中做文章！只要在机器上开启一个嗅探软件，然后在“远程邮箱管理”中选择“取邮件服务器列表”，密码就会在嗅探软件中显示出来。我们以NetXRay为例来说说如何得到账号的密码（NetXRay是由Cinco Networks公司开发的一个用于高级分组检错的软件，它可提供分组获取和译码的功能，它可以提供图形以确切的指出在你的网络中哪里正出现严重的业务拥塞等，更为重要的是它可以为我们捕获邮件密码等）。

　　第一步：运行NetXRay，选择“Capture”菜单中的“Start”。

　　第二步：在Wingbox中选中某个账号，然后点击“工具”菜单中的“远程邮箱管理”，再点击“取邮件服务器列表”。

　　第三步：现在，在NetXRay中选择“Capture”菜单中的“End And View”。然后在如图所示画面中仔细查找（图17），呵呵，那个信箱的就在这儿（fifaspy@263.net，口令为：syp1013w）！看是不是很容易？从另外一个侧面也说明了Wingbox邮箱密码验证过程为明文！真是太危险了！因为如果有人在局域网环境中安装并运行NetXRay，并且有用户使用Wingbox的话，其邮箱密码将不保！

图 17

　　漏洞防范方法：针对以上情况，我们建议您在公共环境中使用Wingbox时，不要选择“保存密码”，使用完毕删除WingBoxDat文件夹下的root.dat文件，同时，在离开电脑前删除你的账号，这样会安全许多！当然，我们这样做也不是根本解决办法，希望对这些漏洞263在线能够在下一版本中加以解决、改进，毕竟，Wingbox用户也不在少数啊！

　　看了以上的介绍，你是不是觉得很可怕？其实，只要能按照本文所说的方法加以防范，时刻警惕，你的邮件会安全许多！