Fandom

Spamwiki

Email injection

694oldal a wikin
Add New Page
Vita0 Share

Az email injection egy különleges spamküldési mód, amely a bizonyos weblapokon található automatikus e-mail-küldő programokat használja ki.

Működési elv Szerkesztés

Bizonyos internetes lapokon a címzett rejtjelezett e-mail-címek helyett egyszerűen meg sem jeleníti az elektronikus levélcímét, csupán egy, a böngészőben kitölthető űrlapon keresztül kapja meg az üzeneteket. Ha azonban az űrlap programozása rossz, könnyedén előfordulhat, hogy egy spammer föltörve azt kéretlen reklámlevelek ezreit küldi el bármilyen e-mail-címre, mégpedig a weboldal tulajdonosának nevében.

A legtöbb esetben lehetőség van a küldendő e-mail fejlécének bizonyos részeit (például a küldő címét) az űrlapon keresztül megadni. A baj akkor történik, amikor a támadó az elvárt adatokkal együtt új címzetteket is hozzáad a fejléchez.

Védekezési lehetőségek Szerkesztés

Az optimális megoldás az lenne, ha minden programozó figyelne arra, hogy a felhasználóktól beérkező adatokat ellenőrizze, és kiszűrné az ártalmas tartalmakat. A legegyszerűbb reguláris kifejezések segítségével eltávolíthatná a fejlécbe illesztendő adatokból a sortörés ('\n','\r') karaktereket, ezek nélkül ugyanis a levelező szerver nem tudja feldolgozni az injektált adatokat.

Sok webalkalmazást futtató rendszerek esetén azonban nem feltételezhető, hogy minden futó alkalmazás hibátlan lesz, ezért alacsonyabb szinten kell megpróbálni gátat szabni az e-mail-injektálásnak.

A legelterjedtebb webkiszolgálóhoz, az Apache-hoz elérhető mod_security modul lehetőséget biztosít arra, hogy az összes felhasználó által küldött adatból kiszűrjük a veszélyes fejlécdarabokat. A biztonsági modul hatásköréből egyenként ki is lehet vonni doméneket, így nem áll fenn a veszélye annak hogy a szigorú szűrés lehetetlenné teszi valamelyik szoftver normális működését.

Emellett a legtöbb webes programozási nyelv lehetőséget biztosít arra, hogy megszabjuk egy-egy e-mail fejlécének maximális méretét. Itt azonban tekintettel kell lenni arra is, hogy némely szoftver legitim működés során is generálhat hatalmas e-mail-fejléceket (például hírlevelek küldésekor).

Kapcsolódó szócikkek Szerkesztés

Külső hivatkozások Szerkesztés

Ad blocker interference detected!


Wikia is a free-to-use site that makes money from advertising. We have a modified experience for viewers using ad blockers

Wikia is not accessible if you’ve made further modifications. Remove the custom ad blocker rule(s) and the page will load as expected.

A Wikia-hálózat

Véletlen wiki