Проблема спама – одна из наиболее актуальных для обитателей всемирной паутины на сегодняшний день. Бесчисленное количество людей постоянно пытаются создать уникальные фильтры для прочистки почтового трафика, однако злые спамеры продолжают активно атаковать наши ящики каждый день предложениями купить что-нибудь или воспользоваться их услугами. Надоедает удалять весь этот ненужный контент, не так ли? Вот я и задумался, что же позволяет многим спамерам активно бомбить наши e-mail. Как оказалось, все довольно банально. Огромное количество злоумышленников используют так называемую E-mail инъекцию, которая присутствует практически на любом сайте с формой обратной связи или возможностью посоветовать материал другу на e-mail. О ней и поговорим.
E-mail Injection – уязвимость веб сайтов, эксплуатируемая в целях отправки большому числу адресатов почтовых писем, естественно не с поздравлениями с Днем Рождения . 95% сайтов в сети обязательно содержат форму обратной связи или предлагают пользователю отправить ссылку на эту страничку другу на электронную почту. Очень редко информация, введенная пользователем, поддается какой-нибудь проверке со стороны скрипта отправки письма (обычно это код на PHP) за исключением самого текста письма, да и то только на наличие HTML тегов. Ну а цель спамера какая? – правильно, не попытка XSS атаки на сайт, а донести какую-то информацию до почтовых ящиков пользователей. Инъекции поддается вводимая пользователем информация. Данный фактор позволяет без каких-либо препятствий рассылать нежелательную корреспонденцию. Причем, IP адрес отправителя будет адресом сайта, с которого производится рассылка, а не самого злоумышленника. Это позволяет защититься от фильтров по blaklist-у, а заодно и делает спамера анонимным.
Техника e-mail инъекции заключается в использовании особенностей MIME формата (подробнее о нем можно почитать в Википедии: http://ru.wikipedia.org/wiki/MIME), в частности – добавление дополнительного списка получателей. MIME формат использует так называемый «возврат каретки», что позволяет ему отделять информацию друг от друга. Так вот этот «возврат каретки» или символ переноса строк используется спамером для отделения и добавления большого числа адресатов и отправки им сообщения за один проход. Чтобы иметь представление об этой уязвимости на примере, рассмотрим для начала устройства самого почтового сообщения.
Ковыряем «внутренности» письма
Итак, что собой представляет обычное электронное письмо? Во-первых, это обычный текст. Простой набор строк с ключевыми словами (заголовками), благодаря которым программа-отправитель имеет представление об адресате, отправителе, теме письма и прочей информации. При отправке письма изначально идут заголовки письма с их значениями, а потом уже сам текст. Зная их предназначение можно даже самому «читать» письмо, причем видеть его таким, какое оно есть на самом деле, а не таким, каким его показывает почтовая программа или сайт.
Если рассматривать письмо с отображение его заголовков в почтовом клиенте, например в TheBat, то оно будет выглядеть следующим образом:
Текст, выделенный жирным шрифтом – это и есть заголовки сообщения, после которых идет текст письма. Заголовки, начинающиеся с X – необязательные. Они используются для разнообразной служебной информации, такой как имя почтового клиента-отправителя или результат проверки на спам. Все достаточно просто.
E-mail injection в действии
Техника e-mail инъекции, как я писал ранее, построена на особенности обработки этих заголовков. В рамках этой статьи мы рассмотрим три способа проведения атаки: при помощи манипуляции с полем «отправитель», при помощи манипуляции с полем «получатель» и при помощи подмены текста письма. Все они будут производиться