Mail Header Injection이란?
공격자가 메시지에 추가 헤더를 삽입하여 메일서버가 의도한 것과 다르게 동작하도록 지시하는 것으로 이 페이지에서는 이메일 헤더에 cc(참조)나 Bcc(숨은 참조)를 추가하여 관리자에게만 보내는 메일을 다른 사람들에게 참조를 하여 메일을 보낼 수 있는 취약점이다.
bWapp@mailinator.com으로 E-mail로 질문을 보내달라고 쓰여있다.
소스코드 확인시 아래와 같이 메일이 전송될 것을 예상할 수 있다.
받는 사람 - bWapp@mailinator.com
제목 - bWAPP - Mail Header Injection (SMTP)
내용 -
Content :
Name : 시큐렛
E-mail : trent@kakao.com
Remark:
Remark 내용
Greets from bWAPP!!
trent@kakao.com%0aBcc:1@kakao.com,2@kakao.com,3@kakao.com,4@kakao.com,5@kakao.com이메일 값에 위 코드 내용을 입력하여주면 1,2,3,4,5@kakao.com으로 숨은 참조를 통하여 메일이 전송됩니다.
"귀하의 메시지가 우리의 마스터 벌에게 전송되었습니다!"라는 메시지와 함깨 메세지 전송이 완료된 것을 볼 수 있다.
'취약점 > Bee-Box' 카테고리의 다른 글
| A1-Injection OS Command Injection - Blind 비박스(bWAPP) (0) | 2019.12.03 |
|---|---|
| A1-Injection OS Command Injection 비박스(bWAPP) (0) | 2019.12.02 |
| A-1 Injection iFrame Injection 비박스(bWAPP) (0) | 2019.11.30 |
| HTML Injection - Stored (Blog) (0) | 2019.11.29 |
| HTML Injection - Reflected (Current URL) bWAPP (0) | 2019.11.28 |