首页
注册
登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请
登录
V2EX
›
程序员
如何预防邮件表头注入?
hacker1031
·
2013-11-21 20:41:14 +08:00
· 2506 次点击
这是一个创建于 4027 天前的主题,其中的信息可能已经有所发展或是发生改变。
想问的是,如何注入邮件表头,可使我们的程序更安全。
要注入一个“To”表头到网站联系页面的邮箱输入文本框中,常用的注入方式是添加一个新行
[email protected]
%0D%0ATo:
[email protected]
但这样的结果如下
From: <
[email protected]
%0D%0ATo:
[email protected]
>
To:
[email protected]
Subject: ...
不是想像中的
From: <
[email protected]
>
;
To:
[email protected]
To:
[email protected]
Subject: ...
想重现攻击效果,哪里有问题呢?
example
com
trap
1 条回复
•
1970-01-01 08:00:00 +08:00
1
krafttuc
2013-11-23 15:01:21 +08:00
你的from从表单拿到后做了escape html处理?
关于
·
帮助文档
·
博客
·
API
·
FAQ
·
实用小工具
·
893 人在线
最高记录 6679
·
Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 21ms ·
UTC 21:28
·
PVG 05:28
·
LAX 13:28
·
JFK 16:28
Developed with
CodeLauncher
♥ Do have faith in what you're doing.