SHADOW:Group
Переслано от канала
#наработки #web #offense
Моя статья, победившая в конкурсе от Standoff365, увидела свет на Habr!
Основы работы почты
Потенциальные уязвимости
Демонстрация эксплуатации
Habr: E-mail Injection
DeteAct Blog: E-mail Injection
HaHacking_Mail-Injection.pdf
) Откуда?
Не так давно столкнулась с ситуацией, когда форма на сайте отправляла ответы пользователей в виде писем на выделенную для этого почту.
На первый взгляд – обычная ситуация, а на второй – вывалившийся лог
Результаты – оформила в виде статьи
) Что?
[ Подготовила небольшие примеры уязвимых приложений + каждое наглядно проэксплуатировала ]
qwqoro/Mail-Injection [ / / 
]
CRLF (
Arbitrary Command Flag Injection
Improper Input Validation
// Время чтения: ~20 минут
Enjoy!
@HaHacking
Моя статья, победившая в конкурсе от Standoff365, увидела свет на Habr!
Основы работы почты
Потенциальные уязвимости
Демонстрация эксплуатации
Habr: E-mail Injection
DeteAct Blog: E-mail Injection
HaHacking_Mail-Injection.pdf
) Откуда?
Не так давно столкнулась с ситуацией, когда форма на сайте отправляла ответы пользователей в виде писем на выделенную для этого почту.
На первый взгляд – обычная ситуация, а на второй – вывалившийся лог
SMTP сервера навёл на мысли об изучении спектра потенциальных уязвимостей, которые могут вытекать из специфики почтовой функциональности;Результаты – оформила в виде статьи
) Что?
[ Подготовила небольшие примеры уязвимых приложений + каждое наглядно проэксплуатировала ]
qwqoro/Mail-Injection [ / / ]CRLF (
SMTP / IMAP) InjectionArbitrary Command Flag Injection
Improper Input Validation
// Время чтения: ~20 минут
Enjoy!
@HaHacking
🔥 18
👍 9
🤔 1
123 5.7K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram