E-Mail-Injection

E-Mail-Injection

E-Mail-Injektion bezeichnet das Ausnutzen einer Sicherheitslücke in einer Webanwendung, die es einem Angreifer erlaubt, über ein ungeschütztes Kontaktformular ohne Wissen und Einverständnis des Betreibers E-Mails zu verschicken. Das Hauptinteresse des Angreifers ist der Versand von Spam. Der Begriff wurde von der Sicherheitslücke SQL-Injection abgeleitet.

Inhaltsverzeichnis

Funktionsweise

Die Sicherheitslücke besteht darin, dass die in ein Kontaktformular eingegebenen Daten ohne weitere Prüfung an den Mailserver weitergereicht werden. Dem Angreifer kommt dabei zugute, dass die Header (E-Mail)-Informationen zeilenweise am Anfang der E-Mail stehen und einige Programmiersprachen für Webanwendungen selbst keine Überprüfung der Daten beim Versand einer E-Mail vornehmen. Der Vorgang der E-Mail-Injektion besteht darin, einzeilige Eingaben, wie zum Beispiel den Betreff der Anfrage, mit mehrzeiligen Informationen zu füllen. Dabei können beispielsweise weitere Empfänger gesetzt werden, unter Umständen auch als „CC“ oder „BCC“, selbst wenn der Programmierer der Webanwendung eine Empfängeradresse fest vorgegeben hat.

Verbreitung

Bis 2004 war die Lücke zwar bekannt, wurde aber nur vereinzelt ausgenutzt. Seit 2005 häufen sich die Meldungen, dass Search-Bots – ähnlich denen einer Suchmaschine – im großen Umfang Formulare auf Webseiten mit der Brute-Force-Methode auf eine Verwundbarkeit hinsichtlich dieser Sicherheitslücke überprüfen. Es ist zu erwarten, dass die hierbei gesammelten Informationen in naher Zukunft zum Versand von SPAM in größerem Umfang eingesetzt werden.

Beispiel

Der nachstehende Code zeigt die Daten eines solchen HTTP-Requests auf ein Kontaktformular einer in PHP geschriebenen Webanwendung.

$_REQUEST = Array {
["name_absender"]=> string(215) "of
Content-Type: text/plain; charset=\"us-ascii\"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Subject: nton an incoln. e d be bucked off befure
bcc: charleslegbe@aol.com
 
ec36ff5aa45502446284c4f3ce2b3896.
"
}

Dabei steht $_REQUEST für das Array, das alle Variablen enthält, die dem HTTP-Request mitgegeben wurden. Das ist in diesem Fall nur die Variable „name_absender“. Diese ist ein String von 215 Zeichen, der sich über neun Zeilen erstreckt. Baut die Webanwendung den Namen des Absenders in den Header einer E-Mail ein, wird die E-Mail ungewollt auch an die angegebene Adresse beim Provider AOL gesendet. Hier handelt es sich noch nicht um das Aussenden von SPAM selbst, sondern um den Test, ob das betreffende Kontaktformular anfällig für die Sicherheitslücke ist. Die Zeile mit den 32 Zeichen wird vermutlich ein Hash-Wert sein, mit dem der Angreifer die URL des ungeschützten Kontaktformulars codiert hat, um sie später zu identifizieren.

Abwehrmaßnahmen

In Internet-Foren wird über geeignete Abwehrmaßnahmen diskutiert. Vermeintlich schützende Maßnahmen, wie das gezielte Aussperren eines bestimmten Search-Bots anhand der von ihm verwendeten E-Mail-Adresse, das Abprüfen des Referrers bei der Verarbeitung der Eingaben oder des ausschließlichen Akzeptierens von Eingaben über HTTP-POST aus dem Kontaktformular, können leicht umgangen werden.

Eine wirksame Maßnahme ist das Unterbinden von Zeilenumbrüchen in Variablen, die später in den Header der E-Mail eingefügt werden sollen. Ob dabei ein mehrzeiliger String auf die erste Zeile gekürzt oder bei der Feststellung von Zeilenumbrüchen die Verarbeitung des Programmes unterbrochen wird, ist dem Programmierer freigestellt.

Siehe auch

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • E-mail injection — is a security vulnerability that can occur in Internet applications that are used to send e mail messages. Like SQL injection attacks, this vulnerability is one of a general class of vulnerabilities that occur when one programming language is… …   Wikipedia

  • Mail Order Zombie — is an award winning zombie movie podcast.[1] In addition to featuring reviews of and commentary on zombie films, Mail Order Zombie, or MOZ, also features coverage of zombie and post apocalyptic literature; interviews with writers and filmmakers;… …   Wikipedia

  • E-mail инъекция — e mail инъекция  это техника атаки, используемая для эксплуатации почтовых серверов и почтовых приложений, конструирующих IMAP/SMTP выражения из выполняемого пользователем ввода, который не проверяется должным образом. В зависимости от типа… …   Википедия

  • Header-Injection — ist eine Klasse von Sicherheitslücken in Webanwendungen, welche auftreten, wenn die Header eines Protokolls dynamisch unter Hinzunahme von unzureichend geprüften Benutzereingaben generiert werden. Header Injection in HTTP kann z. B. zu HTTP… …   Deutsch Wikipedia

  • E-Mail-Injektion — bezeichnet das Ausnutzen einer Sicherheitslücke in einer Webanwendung, die es einem Angreifer erlaubt, über ein ungeschütztes Kontaktformular ohne Wissen und Einverständnis des Betreibers E Mails zu verschicken. Das Hauptinteresse des Angreifers… …   Deutsch Wikipedia

  • Lethal injection — For the Ice Cube album, see Lethal Injection (album). Part of a series on Capital punishment Issues …   Wikipedia

  • MySQL Injection — SQL Injection (dt. SQL Einschleusung) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei …   Deutsch Wikipedia

  • SQL Injection — (dt. SQL Einschleusung) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei, über die… …   Deutsch Wikipedia

  • Vulnerability (computing) — In computer security, the term vulnerability is applied to a weakness in a system which allows an attacker to violate the integrity of that system. Vulnerabilities may result from weak passwords, software bugs, a computer virus or other malware,… …   Wikipedia

  • Список эпизодов телесериала «How It's Made» — Эта статья предлагается к удалению. Пояснение причин и соответствующее обсуждение вы можете найти на странице Википедия:К удалению/4 декабря 2012. Пока процесс обсуждени …   Википедия

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”