Email Injection
96 views
We kennen allemaal het begrip mySQL Injection. Maar er is ook Email Injection. Misschien wel interessant om het te bekijken. Lees hier verder. (Engels)
Zeker interessant. Ik ga het bestuderen.
Heb er al last van gehad :(
Het eerste item dat ze behandelen is, door in je eigen "afzendadres", CC & BCC verder in te vullen... Dit is al simpel op te lossen door gewoon te controleren of het ingegeven afzendadres valid is... Of vergis ik me hier?
Sweet hoor. Dat wist ik nog niet! :o
@Rafael: Je afzendadres is altijd valid als je dat zelf in de bron hebt ingetypt. Deze 'invoeging' wordt pas gedaan als de mail daadwerkelijk in elkaar wordt gezet en verzonden.
Ik weer niet of het werkt, maar je zou misschien met eregi kunnen controleren of CC of BCC in het e-mailadres staat.
SanThe schreef op 23.10.2005 12:49@Rafael: Je afzendadres is altijd valid als je dat zelf in de bron hebt ingetypt. Deze 'invoeging' wordt pas gedaan als de mail daadwerkelijk in elkaar wordt gezet en verzonden.
Neeneenee :) Ik bedoel het anders :) Het 'AAN' adres staat vast, en komt vooraan, dus dit kunnen ze niet beïnvloeden. Maar als ze hun eigen emailadres ingeven (het afzendadres maw), kunnen ze dit wel beïnvloeden, door hier na nog headers mee te geven (CC & BCC). Maar als je dus een check doet op het door hen ingegeven afzendadres, is dit toch niet meer mogelijk? Of begrijp ik de hele kwestie verkeerd?
@Rafael: Als je het stuk doorleest zie je dat er zelfs geklooit kan worden met elk invoerveld in je form.
Dus eigenlijk moet je álle invoer op allerlei 'troep' checken.
Dus eigenlijk moet je álle invoer op allerlei 'troep' checken.
Hm, dan denk ik dat ik redelijk goed zit. Ik controleer het afzendadres, en gooi op alle andere invoervelden htmlentities();....
Als je het zeker wilt weten neem je vanaf bovenstaande link een paar voorbeeldjes, pas die aan naar jouw gegevens, en stop het in een door jou gemaakt formulier.