Wstrzykiwanie wiadomości e-mail
Wstrzykiwanie wiadomości e-mail to luka w zabezpieczeniach , która może wystąpić w aplikacjach internetowych używanych do wysyłania wiadomości e-mail . Jest to e-mailowy odpowiednik HTTP Header Injection . Podobnie jak typu SQL injection , ta luka należy do ogólnej klasy luk, które występują, gdy jeden język programowania jest osadzony w innym.
internetowej zostanie dodany formularz , który przesyła dane do aplikacji internetowej, złośliwy użytkownik może wykorzystać format MIME w celu dołączenia do wysyłanej wiadomości dodatkowych informacji, takich jak nowa lista odbiorców lub zupełnie inna treść wiadomości. Ponieważ format MIME wykorzystuje znak powrotu karetki do rozdzielania informacji w wiadomości, a tylko surowa wiadomość określa jej ostateczne miejsce docelowe, dodanie powrotu karetki do przesłanych danych formularza może pozwolić na użycie prostej księgi gości do wysłania tysięcy wiadomości jednocześnie. Złośliwy spamer może wykorzystać tę taktykę do anonimowego wysyłania dużej liczby wiadomości.
Więcej informacji na ten temat, w tym przykłady i sposoby uniknięcia luki, można znaleźć na stronie SecurePHP Wiki . Jednak ta luka nie ogranicza się do PHP ; może potencjalnie wpłynąć na każdą aplikację, która wysyła wiadomości e-mail na podstawie danych wejściowych od dowolnych użytkowników.