电子邮件注入

电子邮件注入

  • 1.电子邮件注入概述
  • 2.在发送的电子邮件中注入
  • 3.绕过邮件网关白名单检查
  • 4.硬退信率DOS攻击

1.电子邮件注入概述

电子邮件注入是一种电子邮件安全漏洞,攻击者通过在输入字段中注入特殊字符或命令来操纵电子邮件的内容。这通常发生在电子邮件表单或应用程序没有正确验证和过滤用户输入时。


2.在发送的电子邮件中注入

1、在发件人参数后注入抄送和密送

From:sender@domain.com%0ACc:recipient@domain.co,%0ABcc:recipient1@domain.com

这里,%0A 是 URL 编码形式的换行符(即 ASCII 码的 0x0A),它会被解释为一个新的行。攻击者通过在电子邮件表单字段中注入这种换行符,可以人为地添加新的邮件头字段,比如 Cc(抄送)和 Bcc(密件抄送)字段。

攻击效果:

  • 攻击者通过这种方式可以绕过正常的邮件发送流程,添加未授权的抄送或密件抄送地址。
  • 这可能导致信息泄露,因为未经授权的收件人会收到本不该收到的邮件内容。

2、注入参数

From:sender@domain.com%0ATo:attacker@domain.com

通过在 From 字段中插入一个换行符 %0A,来人为添加新的 To 字段,这可以让攻击者将电子邮件发送到未经授权的地址

3、注入主题参数

From:sender@domain.com%0ASubject:This is%20Fake%20Subject

4、更改消息正文

注入两行换行符,然后编写您的消息以更改消息正文。

From:sender@domain.com%0A%0AMy%20New%20%0Fake%20Message.

3.绕过邮件网关白名单检查

1、利用电子邮件中被忽略的部分躲过白名单过滤检查

符号:+,-和{}在极少情况下可用于标记,并被大多数电子邮件服务器忽略

例如 john.doe+intigriti@example.comjohn.doe@example.com

括号中的注释()在开头或结尾也将被忽略

例如 john.doe(intigriti)@example.comjohn.doe@example.com

2、巧用IP地址代替域名

可以在方括号之间使用IP地址作为域名,例如:

  • john.doe@[127.0.0.1]
  • john.doe@[IPv6:2001:db8::1]

4.硬退信率DOS攻击

某些服务,如AWS,实施了一个称为硬退信率的阈值,通常设置为10%。这是一个关键指标,特别是对于电子邮件传递服务。当超过此比率时,例如AWS的电子邮件服务,可能会被暂停或阻止。

硬退信指的是因为收件人地址无效或不存在而被退回给发件人的电子邮件。这可能是由于各种原因,例如将电子邮件发送到不存在的地址,不存在的域或收件人服务器拒绝接受电子邮件。
在AWS的情况下,如果您发送了1000封电子邮件,其中有100封由于原因如地址或域无效而导致硬退信,这意味着10%的硬退信率。达到或超过此比率可能会触发AWS SES(简单电子邮件服务)阻止或暂停您的电子邮件发送功能。

可以利用此机制,构造大量不存在的收件人,从而终止目标的邮件服务。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/847033.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python中编码与解码简记

python中编码与解码简记 一、读取文本文件指定的编码方式二、字符串与字节格式互转三、Base64编码解码3.1Base64 编解码使用的参数类型3.2Base64 编码后的字符串显示3.3Base64 解码后的字符串显示 四、Quoted-Printable编码解码4.1Quoted-Printable编解码使用的参数类型4.2Quot…

基本元器件 - 二极管

目录 二极管的主要参数 二极管的分类 整流二极管 快恢复二极管(FRD) 稳压(齐纳)二级管 瞬态电压抑制器(TVS) 开关二极管 肖特基二极管(SBD) 正偏与反偏 常用封装 伏安特性…

Android中focusableInTouchMode会导致第一次点击事件失效

我们很多时候会对某些View设置点击事件&#xff0c;但是&#xff0c;当对这个View同时设置了focusableInTouchModetrue时&#xff0c;第一次点击事件会被消费为为此View获取焦点。 <Viewandroid:id"id/v_click"android:layout_width"match_parent"andr…

第二篇 多路数据选择器

实验二 多路数据选择器 2.1 实验目的 理解多路数据选择器的概念&#xff1b; 使用门级结构描述实现多路选择器&#xff1b; 使用行为描述实现多路选择器&#xff1b; 完成实验设计、仿真&#xff0c;并在DE1-SOC上验证电路。 2.2 原理介绍 在多路数据传送过程中&#xf…

238.除以自身以外数组的乘积

给你一个整数数组 nums&#xff0c;返回数组 answer &#xff0c;其中 answer[i] 等于 nums 中除 nums[i] 之外其余各元素的乘积。 题目数据保证数组 nums之中任意元素的全部前缀元素和后缀的乘积都在 32 位 整数范围内。 请 不要使用除法&#xff0c;且在 O(n) 时间复杂度内完…

Gson解析会丢失默认属性值

问题&#xff1a;类的属性中有设置默认值&#xff0c;Gson中如果不包含该属性时&#xff0c;应该会使用该默认值。如下&#xff1a; class MyPointBean {inner class InnerBean {var altitude 0.0var gradually 1} }val gson GsonBuilder().create()val pStr ""…

linux网络端口

[roottest2 data7]# ifconfig ens33: flags4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 #enss33&#xff1a;设备名称 up 启动 该设备支持广播&#xff0c;正在运行&#xff0c;支持组播 最大传输单元。inet 192.168.60.20 netmask 255.255.255.0 broadca…

Mac连接U盘后怎么读取 Mac连接U盘后怎么取消只读模式

在使用Mac电脑时&#xff0c;连接U盘是一项常见的需求。无论是传输文件还是备份数据&#xff0c;正确地读取U盘对于Mac用户至关重要。然而&#xff0c;当连接的U盘格式为NTFS时&#xff0c;在Mac中进行数据编辑会遇到一些困难。下面我们来看看Mac连接U盘后怎么读取&#xff0c;…

进程线程(一.2)

进程与线程&#xff08;一&#xff09; 并发编程并发与并行高并发 进程特征什么是进程&#xff1f;线程&#xff1f;进程与程序的区别进程与线程区别进程的五状态进程的种类 查看进程命令ps auxps axjpstreekill 进程的创建fork函数fork总结vfork函数fork与vfork区别 获取进程I…

传输协议TCP-原理部分

传输控制协议TCP&#xff08;Transmission Control Protocol&#xff09;一种基于连接的可靠的稳定的无重复的传输协议。 1、TCP头部信息 TCP协议头部信息如下&#xff1a; 一共占用20个字节 16位源端口号&#xff1a;发送进程的主机端口16位目的端口号&#xff1a;接收主机…

实现Dropdown下拉菜单监听键盘上下键选中功能-React

用过ant design的小伙伴都知道&#xff0c;select组件是支持联想搜索跟上下键选中的效果的&#xff0c;但是在项目中我们可能会遇到用select组件无法实现我们的需求的情况&#xff0c;比如说一个div框&#xff0c;里面有input&#xff0c;又有tag标签&#xff0c;在input中输入…

探究 Cosmos Hub 作为国家行为者的可能性

原文标题&#xff1a;《Cosmos Hub: The First Democratic State of Capital》 撰文&#xff1a;Vittecoq Quentin&#xff0c;University of Toulon 编译&#xff1a;Tia&#xff0c;Techub News 本文来源香港Web3媒体&#xff1a;Techub News 介绍 让-雅克卢梭曾断言&am…

LAMP网络服务架构

目录 LAMP 网站服务架构 LAMP的组成部分 LAMP的构建顺序 安装论坛 0.电脑已编译安装Apache&#xff0c;MySQL&#xff0c;PHP 1.创建数据库&#xff0c;并进行授权 2.上传论坛压缩包到 /opt ,并解压 3.上传站点更新包 4.更改论坛目录的属主 5.浏览器访问验证 LAMP 网…

【第4章】SpringBoot实战篇之登录优化(含redis使用)

文章目录 前言一、整合redis1. 引入库2. 配置 二、登录优化1.登录2.拦截器3. 登出4. 修改密码 总结 前言 上一章的登录接口,我们将用户登录信息放置于Map中,存在一个问题,集群部署无法共享以及应用停止用户登录信息即丢失,接下来我们整合redis来整合这个问题。 一、整合redis …

代码随想录35期Day59-JavaScript(day58休息)

Day59题目 LeetCode503下一个更大元素 核心思想:和之前的下一个更高温度差不多,使用单调栈,只不过这个需要你循环查找,可以通过遍历两次数组实现 /*** param {number[]} nums* return {number[]}*/ var nextGreaterElements function(nums) {var len nums.lengthvar res …

低代码平台:打破数据孤岛的利器,推动企业数字化转型

随着数字化浪潮的汹涌而至&#xff0c;企业对于快速开发应用程序的需求变得日益迫切。在这样一个快速变化的时代&#xff0c;如何能够高效地开发并上线新的应用程序&#xff0c;以满足市场和客户的不断变化的需求&#xff0c;成为了企业面临的一大挑战。而低代码开发平台&#…

RSA密钥生成、加解密代码

背景介绍 RSA公钥加密算法是1977年由罗纳德李维斯特&#xff08;Ron Rivest&#xff09;、阿迪萨莫尔&#xff08;Adi Shamir&#xff09;和伦纳德阿德曼&#xff08;Leonard Adleman&#xff09;一起提出的。1987年首次公布&#xff0c;当时他们三人都在麻省理工学院工作。RSA…

强化学习(一) 基本概念和赌博机问题

文章目录 什么是强化学习强化学习的两个基本特征强化学习的其它特征强化学习不同于有监督学习强化学习不同于无监督学习强化学习不同于进化方法强化学习的独特挑战强化学习典例 强化学习的要素强化学习的适用范围强化学习学术主线解决强化学习问题的一般框架赌博机两个影响因素…

SiT : Self-supervised vision Transformer

从NLP Transformer中借鉴而来的视觉 Transformer 在使用大规模监督数据或某种形式的协同监督&#xff08;例如教师网络&#xff09;进行预训练时已被证明是有效的。这些经过监督预训练的视觉Transformer在下游任务中通过最小的改动就能取得出色的结果。 随着监督预训练&#x…

告别盲目推广!Xinstall二维码携参技术,让App运营更精准高效

在移动互联网时代&#xff0c;App推广和运营已成为每个开发者必须面对的重要任务。然而&#xff0c;如何精准地定位目标用户&#xff0c;提高转化率和用户留存率&#xff0c;成为了摆在每个开发者面前的难题。今天&#xff0c;我们就来谈谈如何通过Xinstall二维码携参技术&…