Электронная инъекция - Email injection
Электронная инъекция это уязвимость безопасности что может произойти в Интернет Приложения которые используются для отправки Эл. адрес Сообщения. Это электронный эквивалент Внедрение заголовка HTTP. Нравиться SQL-инъекция атаки, эта уязвимость является одной из общего класса уязвимостей, возникающих при язык программирования встроен в другой.
Когда форма добавляется в Интернет страницы, которая отправляет данные в веб-приложение, злоумышленник может воспользоваться MIME формат, чтобы добавить дополнительную информацию к отправляемому сообщению, например, новый список получателей или совершенно другое тело сообщения. Поскольку формат MIME использует возврат каретки для разграничения информации в сообщении, и только исходное сообщение определяет его конечный пункт назначения, добавление возврата каретки к отправленным данным формы может позволить использовать простую гостевую книгу для одновременной отправки тысяч сообщений. Злонамеренный спамер могли использовать эту тактику для анонимной отправки большого количества сообщений.[1]
Более подробную информацию по этой теме, включая примеры и способы избежать уязвимости, можно найти на сайте SecurePHP Вики.Однако эта уязвимость не ограничивается PHP; это может потенциально повлиять Любые приложение, которое отправляет сообщения электронной почты на основе ввода от произвольных пользователей.
использованная литература
- ^ Дафидд Статтард; Маркус Пинто (16 марта 2011 г.). Справочник хакера веб-приложений: обнаружение и использование недостатков безопасности. Джон Вили и сыновья. С. 321–324. ISBN 978-1-118-07961-4. Получено 11 июля 2013.
внешние ссылки
- Внедрение заголовков электронной почты с помощью функции mail () (Английский)
- Внедрение заголовков электронной почты с помощью функции mail () (Французский)
 | Эта компьютерная сеть статья - это заглушка. Вы можете помочь Википедии расширяя это. |