V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hacker1031
V2EX  ›  程序员

如何预防邮件表头注入?

  •  
  •   hacker1031 · 2013-11-21 20:41:14 +08:00 · 2506 次点击
    这是一个创建于 4027 天前的主题,其中的信息可能已经有所发展或是发生改变。
    想问的是,如何注入邮件表头,可使我们的程序更安全。

    要注入一个“To”表头到网站联系页面的邮箱输入文本框中,常用的注入方式是添加一个新行

    [email protected]%0D%0ATo:[email protected]

    但这样的结果如下

    From: <[email protected]%0D%0ATo:[email protected]>
    To: [email protected]
    Subject: ...

    不是想像中的

    From: <[email protected]>;
    To: [email protected]
    To: [email protected]
    Subject: ...

    想重现攻击效果,哪里有问题呢?
    1 条回复    1970-01-01 08:00:00 +08:00
    krafttuc
        1
    krafttuc  
       2013-11-23 15:01:21 +08:00
    你的from从表单拿到后做了escape html处理?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   893 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 21:28 · PVG 05:28 · LAX 13:28 · JFK 16:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.