close

最近一來沒題材二來沒閒, 很長一段時間沒寫新東西...
嘛, 反正本來就沒啥人看就是了, 雖然Google好像很捧我場 XD

現在是使用抓封包軟體測試幾個E-mail server的安全性

*注意! 任意竊取他人通訊是違法行為, 請勿輕易嘗試!

1. 智邦生活館E-mail

    在登入頁面使用隨便亂編的帳號: testid@ms31.url.com.tw及密碼123456
    url login

    啟動抓封包軟體後按下登入, 然後來看看結果:
    url capture

    看見沒有? 帳號密碼都以明碼清清楚楚的傳送出去

2. 再來看看台灣最老牌的ISP: HiNet提供的信箱會不會好一點呢?

    同樣的, 以胡謅的帳號testid@ms32.hinet.net, 密碼123456登入
    HiNet login

    抓出來的結果:
    HiNet capture

    很不幸的, HiNet的登入資訊居然也是以明碼傳送

3. 使用網頁介面不安全, 那用Outlook呢?

    先在Outlook 2003中建立一個測試用帳號, 密碼同樣是123456, 以智邦來當測試目標
    Outlook account

    結果抓出來
    Outlook capture

    還更好找

    再來使用真實帳號發一封測試信
    test mail

    試抓的結果
    Outlook mail capture

    信件內容也被看得清清楚楚.
    如果這信是純文字格式的話內容還會更簡單

另外還試過Hotmail和Gmail是抓不到的, 至少我抓不到.
表示這兩間的E-mail安全性還高一些.

不過, E-mail這種東西在當初被發明時就沒有考慮太多安全問題, 畢竟當年根本沒想到它會變成人人在用的普遍服務
因此即使某些mail server有提供登入驗證, 信件在收發時仍然是以明碼傳送的

因此...有的公司網路購物要求以E-mail告知信用卡號碼...你還敢寄嗎?

再來試試MSN Messenger...

以某微網誌的bot為對象發送測試訊息
MSN messenger send

抓到的結果是
MSN capture 1

看見沒? 發信人、收信人都清清楚楚

再來看看其他封包...
MSN capture 2

通訊內容也清清楚楚!

現在知道M$在MSN Messenger中特別提醒請勿傳送信用卡號等機密資料不是隨口說說而已了吧?

可能有人會有疑問, 我自己抓自己的封包當然抓得到. 但別人抓得到我的封包嗎?
答案是: 抓得到.

網路訊號是發給同網段中的所有主機的, 也就是說這個指定發給某人的訊息, 事實上是發給了很多人; 只是一般正常主機收到不屬於自己的封包時會將之丟棄. 而像這種抓封包軟體則可以將所有傳到的封包通通擷取下來.

看到以上示範, 你還敢偷連未加密的無線網路上不要錢的網嗎? 搞不好架AP的人正開著軟體等著你來連
你還敢在咖啡廳用筆電跟男/女朋友談情說愛嗎? 搞不好你們的情話綿綿都被隔壁桌的人看光囉 XD

arrow
arrow
    全站熱搜

    Foxbite 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄