W i l l k o m m e n   b e i   [ www.mauspfeil.com ]
 
 



 

Wörterbuch der Bedeutung
<<Zurück
Bitte wählen Sie einen Buchstaben:
A, Ä | B | C | D | E | F | G | H | I | J | K | L | M | N | O, Ö | P | Q | R | S | T | U, Ü | V | W | X | Y | Z | 0-9

Suchen:

(Groß-/Kleinschreibung wird nicht unterschieden)

Google


E-Mail-Injektion

*** Shopping-Tipp: E-Mail-Injektion

Unter dem Begriff '''E-Mail-Injektion''' versteht man das Ausnutzen einer Sicherheitslücke in einer Webanwendung, die es einem Angreifer erlaubt über ein ungeschütztes Kontaktformular ohne Wissen und Einverständnis des Betreibers E-Mails zu verschicken. Das Hauptinteresse des Angreifers dürfte dabei der Versand von Spam sein. Der Begriff wurde von der Sicherheitslücke SQL-Injektion abgeleitet.

Funktionsweise
Diese Sicherheitslücke besteht darin, dass die in ein Kontaktformular eingegebenen Daten ohne weitere Prüfung an den Mailserver weitergereicht werden. Dem Angreifer kommt dabei zugute, dass die Header (E-Mail)-Informationen zeilenweise am Anfang der E-Mail stehen und einige Programmiersprachen für Webanwendungen selber keine Überprüfung der Daten beim Versand einer E-Mail vornehmen. Der Vorgang der E-Mail-Injektion besteht darin, einzeilige Eingaben, wie z.B. der Betreff der Anfrage, mit mehrzeiligen Informationen zu füllen. Dabei können beispielsweise weitere Empfänger, ggf. auch als Header (E-Mail) CC oder Header (E-Mail) BCC, gesetzt werden, selbst wenn der Programmierer der Webanwendung eine Empfängeradresse fest vorgegeben hat.

Verbreitung
Während bis 2004 diese Lücke zwar bekannt, aber nur vereinzelt ausgenutzt wurde, häufen sich seit 2005 die Meldungen, dass Webcrawler Search-Bots ähnlich der einer Suchmaschine im großen Umfang Formulare auf Webseiten mit der Brute-Force-Methode auf eine Verwundbarkeit hinsichtlich dieser Sicherheitslücke überprüfen. Es ist zu erwarten, dass die hierbei gesammelten Informationen in naher Zukunft zum Versand von SPAM in größerem Umfang eingesetzt werden.

Beispiel
Der nachstehende Code zeigt die Daten eines solchen HTTP HTTP-Requests auf ein Kontaktformular einer in PHP geschriebenen Webanwendung. $_REQUEST = Array { ["name_absender"]=> string(215) "of Content-Type: text/plain; charset=\"us-ascii\" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit Subject: nton an incoln. e d be bucked off befure bcc: charleslegbe@aol.com ec36ff5aa45502446284c4f3ce2b3896 . " } Dabei steht $_REQUEST für das Array, welches alle Variablen enthält, die dem HTTP-Request mitgegeben wurden. Das ist in diesem Fall nur die Variable „name_absender“. Diese ist ein String von 215 Zeichen, der sich über neun Zeilen erstreckt. Baut die Webanwendung den Namen des Absenders nun in den Header einer E-Mail ein, wird die E-Mail ungewollt auch an die angegebene Adresse bei dem Provider AOL gesendet. Hier handelt es sich noch nicht um das Aussenden von SPAM selber, sondern vielmehr um den Test, ob das betreffende Kontaktformular anfällig für die Sicherheitslücke ist. Die Zeile mit den 32 Zeichen wird vermutlich ein Hash-Funktion Hash-Wert sein, mit dem der Angreifer die URL des ungeschützten Kontaktformulars codiert hat, um sie später wieder zu identifizieren.

Abwehrmaßnahmen
In diversen Internet-Foren kursieren eine Menge von teilweise oder gar nicht wirksamen Abwehrmaßnahmen. Dazu gehört das gezielte Aussperren eines bestimmten Search-Bots anhand der von ihm verwendeten E-Mail-Adresse, das Abprüfen des Referers bei der Verarbeitung der Eingaben oder des ausschließlichen Akzeptierens von Eingaben über HTTP HTTP-POST aus dem Kontaktformular. Die einzig wirksame Maßnahme ist das Unterbinden von Zeilenumbrüchen in Variablen, die später in den Header der E-Mail eingefügt werden sollen. Ob man dabei einen Mehrzeiligen String auf die erste Zeile kürzt oder bei der Feststellung von Zeilenumbrüchen die Verarbeitung des Programmes unterbricht, ist dem Programmierer dabei freigestellt.

Siehe auch
* Cross-Site Scripting * Sicherheitslücke * Computersicherheit

Weblinks

http://www.heise.de/security/artikel/66815 Kategorie:E-Mail Kategorie:Sicherheitslücke en:E-mail injection

*** Shopping-Tipp: E-Mail-Injektion




[Der Artikel zu E-Mail-Injektion stammt aus dem Nachschlagewerk Wikipedia, der freien Enzyklopädie. Dort findet sich neben einer Übersicht der Autoren die Möglichkeit, den Original-Text des Artikels E-Mail-Injektion zu editieren.
Die Texte von Wikipedia und dieser Seite stehen unter der GNU Free Documentation License.]

<<Zurück | Zur Startseite | Impressum | Zum Beginn dieser Seite