Email Injection

تزریق ایمیل آسیب پذیری امنیتی می باشد که به هکر امکان ارسال ایمیل از طریق سرور قربانی را فراهم می سازد. هکر های ارسال کننده هرز نامه از این طریق قادر می باشند که بدون مشخص شدن هویت ارسال کننده از طریق سرور بصورت دسته ای و در حجم بالا ایمیل ارسال نمایند.

یکی از پارامتر های ورودی فانکشن mail بطور مناسب اعتبار سنجی نشده است و این امکان را به هکر می دهد تا بتواند پارامتر های دلخواه SMTP Header را سفارشی نماید. برای مثال هکر قادر خواهد بود آدرس ایمیلی را در قسمت گیرنده اضافه نموده و با استفاده از اسکریپت آن را ارسال نماید. پیشنهاد می گردد در ورودی ها (13*0)CR و (10*0)LF را فیلتر نمایید.

منبع: Email Injection