طراحی سایت-طراحی وب سایت-طراحی سایت در  شیراز

زئوس : طراحی سایت در شیراز | طراحی وب سایت در شیراز

آسیب پذیری از طریق تزریق به هدر ایمیل

هک از طریق تزریق به هدر ایمیل

  تزریق هدر ایمیل (Email Header Inhection) چیست؟ این تزریق یک نوع آسیب پذیری می باشد که توسط کاربران مخرب در جهت ارسال هرزنامه مورد استفاده قرار می گیرد. این حمله زمانی رخ می دهد که فرم های ورودی صفحات وب کاربران به درستی فیلتر از وجود متا کاراکتر ها نشده باشد. این تزریق معمولا در صفحاتی با نام (تماس با ما) انجام می شود که در آن کاربران، مجاز به ارسال نامه به مدیر وب سایت هستند.

 

فرم های تحت وب، رایج ترین هدف حمله تزریق به هدر ایمیل: معمولا وب سایت ها فرمی شبیه به عکس زیر را در صفحه تماس با ما قرار می دهند

 

 

 در این فرم کاربران قادر به درج نام، ایمیل و متن مورد نظر خود می باشند. این امکان وجود دارد که ورودی های موجود به خوبی از وجود متا کاراکتر ها فیلتر نشده و هر نوع متنی در آن قابل ارسال به مدیر وب سایت باشد. نمونه کد مشابه برای زبان برنامه نویسی PHPدر زیر آمده است

 

 

 قطعه کد روبرو نام و ایمیل را گرفته و لیستی از هدر ها را برای ارسال ایمیل فراهم می کند. این کد 2 هدر را تولید می کند: Reply-toو From.

 

 

 چگونه هکر از این فرم برای ارسال هرزنامه استفاده می کند

هکر قادر است در این فرم، هدر های ()MIMEدیگری تزریق نماید. به صورت نرمال این فرم تنها ایمیلی برای مدیریت وب سایت ارسال می نماید اما اگر هکر قطعه کد زیر را در فید Fromوارد نماید

root<b>\n</b>bcc: spam@address.com

 یک bccجدید تولید شده و ایمیل برای آدرس spam@address.com نیز ارسال می گردد. هرزنامه نویس ها قادر می باشند از این طریق ایمیل های بسیاری را از طریق وب سایت معتبر شما که منبعی امن می باشد برای دیگران ارسال نمایند. این آسیب پذیری تنها محدود به زبان برنامه نویسی PHPنمی باشد بلکه سایر نرم افزارهای تحت وب امکان (تزریق هدر به ایمیل) برایشان وجود دارد. نماد امنیت وب به دارندگان وب سایت پیشنهاد می کند در جهت جلوگیری از این دسته آسیب پذیری ها، از اسکن امنیتی نماد امنیت وب در جهت تشخیص و اصلاح آسیب پذیری ها استفاده نمایند.


منبع : مرکز طراحی وب زئوس

تاریخ درج خبر : 1392/5/31
تعداد بازدیدها : 829

اخبار مرتبط

دیدگاه شما