Lição 4
Início
Contexto:
- Muitos sites permitem o envio de e-mail não autenticado para alguém
pertencente ao domínio do site, como por exemplo o administrador.
- Isto é um grande mecanismo para os spammers enviarem e-mail para fora do
domínio do site usando o mail acreditado do servidor.
- Através de um formulário para introdução de dados que irão ser enviados por
correio electrónico.
Fragilidade:
- O formulário contem um campo escondido que indica o destino da mensagem de
e-mail;
- O formulário apresenta uma revisão dos dados enviados.
Ataques:
Observações:
Um ataque deste género só é conseguido após o envio de uma primeira mensagem
de e-mail para endereço electrónico que consta no campo escondido do formulário,
ou seja, o destinatário deste e-mail também vai sofrer com o ataque caso este
seja visualizado em algo que interprete HTML. Caso contrário irá ficar ao
corrente de que alguém tentou um ataque ao site.
Início
"Vulnerabilidades na WWW"
Projecto de Algoritmos e Aplicações de Segurança, LEIC - 4º ano, 2004-2005
Luis Miguel Silva Costa, Mail, Homepage
Nuno Alexandre Costa Fresta dos Santos, Mail, Homepage