bWAPP--STMP Injection

最新推荐文章于 2022-11-30 16:17:52 发布
最新推荐文章于 2022-11-30 16:17:52 发布
阅读量597 收藏 1
点赞数
分类专栏: bWAPP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hee_mee/article/details/108608610
版权
本文介绍了SMTP的基础知识,包括SMTP的定义、常见的邮件标题头。重点讲述了SMTP注入的常见攻击手法,如cc/bcc注入、邮件主题注入和消息主体注入,并通过实例展示了攻击过程。同时,讨论了如何通过参数注入劫持找回密码邮件。最后,提出了防御SMTP注入的方法,即对用户输入进行恶意字符过滤。
摘要由CSDN通过智能技术生成

基础知识

什么是SMTP

SMTP 就是 Simple Mail Transfer Protocol 的缩写翻译来就是邮件传输协议,也就是用来发邮件的。

常见的标题头

  • return-path:邮件的回复地址。

  • from:发件人地址。

  • to:收件人地址。

  • subject:邮件主题,即邮件名。

  • body:邮件内容。

  • date:邮件发送日期。

  • cc:抄送。

  • bcc:密送。

常见攻击手法

  • cc/bcc注入

    正常表单:

    name=tom&email=tom@mail.com&password=passwd&form=submit

    cc/bcc注入后的表单

    name=tom&email=tom@mail.com%0Ahacker@mail.com&password=passwd&form=submit

    其中%0A为\n 的url编码后的编码,这样邮件就会密送给hacker的邮箱

  • 邮件主题注入

    正常表单:

    • 


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  hee_mee
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
net-server-mail:STMP协议及其不同演变的可扩展Perl实现(即:ESMTP,LMTP)

				
			

			

				

					02-05
				

			

		

		

			
				
SMTP(Simple Mail Transfer Protocol)是互联网上用于发送电子邮件的标准协议,它定义了邮件服务器之间交换邮件的格式和交互过程。然而,随着电子邮件系统的复杂性和安全需求的增加,SMTP逐渐发展出了多个扩展版本...

			
		

	



                

              
                



	

		

			

				
					
最近看到的几个不错论坛

				
			

			

				

					sfqng_langchao的专栏
				

				

					02-23
					
					1万+
					
				

			

		

		

			
				
hibernate论坛   http://www.hibernate.org.cnspring 论坛   http://spring.jactiongroup.net我比较喜欢里面的东西,对于现在比较流行的(struts+spring+hiberante)技术给我很大的启发我个人特别喜欢spring中的aop,ioc

			
		

	



                


  
              

                


	

		

			

				
					
avlang php,www.avlang12.info

				
			

			

				

					weixin_29879257的博客
				

				

					03-11
					
					7万+
					
				

			

		

		

			
				
Domain Name: AVLANG12.INFORegistry Domain ID: D503300000025463124-LRMSRegistrar WHOIS Server: whois.godaddy.comRegistrar URL: http://www.godaddy.comUpdated Date: 2017-10-08T18:19:05ZCreation Date: 201...

			
		

	





	

		

			

				
					
乱码大全

					
热门推荐

				
			

			

				

					
				

				

					03-24
					
					18万+
					
				

			

		

		

			
				
<br /> 很久很久以前我转载过的一篇文章,这篇文章很大程度帮助了我。后来曾一度删除,但是发现很不方便,所以还是再次拷贝过来以备查阅。<br />
发信人: bluesea (蓝海), 信区: Internet<br />
标 题: 乱码大全(1)──综述(第二版)<br />
发信站: BBS 水木清华站 (Sun Feb 15 15:54:37 1998)<br /><br />
乱码大全(1)──综述(第二版)<br /><br />
本文第一版本于98年2月3日发于本板。这一版本修改了原

			
		

	



		

			
		



	

		

			

				
					
收藏夾部分網址

				
			

			

				

					Haibing的博客
				

				

					05-16
					
					6287
					
				

			

		

		

			
				
第一份工作了四年,一些收藏夾的網址


http://database.ctocio.com.cn/tips/272/7588272_10.shtml sql優化-索引


http://pixlr.com/editor/  Photo editor online free


http://www.favnet.cn/  
http://www.favnet.cn/html/

			
		

	





	

		

			

				
					
好的网站收藏---长期更新---长期更新---长期更新---长期更新--

				
			

			

				

					weixin_30786617的博客
				

				

					05-17
					
					1万+
					
				

			

		

		

			
				
影视
http://www.bestxl.com/            老调网/小浪
http://www.bttiantang.com/          BT天堂
http://oabt.org/                P2P,中英双语



音乐

书籍

开发
http://bbs.chinaunix.net/thread-366549...

			
		

	





	

		

			

				
					
mp3-4 STMP3410原理图 mp3-4 STMP3410原理图

				
			

			

				

					05-11
				

			

		

		

			
				
STMP3410是一款由意法半导体(STMicroelectronics)设计的高性能音频处理芯片,主要用于便携式音频播放器,如MP3设备。这款芯片集成了多种功能,旨在为用户提供高质量的音频体验。在深入探讨STMP3410的原理图之前,...

			
		

	





	

		

			

				
					
MP3方案-STMP3410

				
			

			

				

					05-31
				

			

		

		

			
				
MP3方案-STMP3410是基于意法半导体(STMicroelectronics)的STMP3410芯片设计的一种音频处理解决方案。STMP3410是一款高度集成的微控制器,专为数字音频播放器和其他便携式多媒体设备而设计。这款芯片提供了全面的...

			
		

	





	

		

			

				
					
C.SMTPe-mail.zip_STMP服务器_stmp  c

				
			

			

				

					09-24
				

			

		

		

			
				
SMTP(Simple Mail Transfer Protocol)是互联网上用于发送电子邮件的标准协议,它定义了客户端与邮件服务器之间的通信规则。本文将深入探讨C语言实现SMTP协议的基本原理和步骤,以及如何使用C代码连接远程SMTP...

			
		

	





	

		

			

				
					
PHP邮件STMP简单类.zip

				
			

			

				

					07-11
				

			

		

		

			
				
分享一个PHP邮件STMP简单类,这里使用了163的邮箱,SMTP服务器,连接端口,SMTP服务器的用户邮箱,需要服务器账号和密码,提示是否使用身份验证,是否显示发送的调试信息。

			
		

	





	

		

			

				
					
bvlang新人php,www.bvlang6.com

				
			

			

				

					weixin_39874350的博客
				

				

					04-01
					
					5631
					
				

			

		

		

			
				
Domain Name: BVLANG6.COMRegistry Domain ID: 2183015929_DOMAIN_COM-VRSNRegistrar WHOIS Server: whois.namesilo.comRegistrar URL: http://www.namesilo.comUpdated Date: 2018-10-05T11:11:32ZCreation Date: 2...

			
		

	





	

		

			

				
					
www.gvlib video.php,www.gvlib.com

				
			

			

				

					weixin_33238848的博客
				

				

					03-09
					
					6922
					
				

			

		

		

			
				
Domain Name: gvlib.comRegistrar URL: http://www.godaddy.comRegistrant Name: Bin SongRegistrant Organization:Name Server: NS1.51DNS.COMName Server: NS2.51DNS.COMDNSSEC: unsignedFor complete domain deta...

			
		

	





	

		

			

				
					
smtp渗透

				
			

			

				

					m0_46689007的博客
				

				

					11-30
					
					3003
					
				

			

		

		

			
				
我们可以透过协议,指定了一条消息发送至一个或多个接收者,然后消息文本会被传输。例如,他们可以向财务部门发送一封看似来自 CFO 的令人信服的电子邮件,并紧急要求向攻击者的账户进行大笔银行转账。电子邮件库将这些地址转换为 RCPT TO 命令,并将邮件不仅发送给预期的收件邮箱,还发送给这些额外构造的收件邮箱。用于利用邮件服务器和网络邮件应用程序,这些应用程序根据用户提供的未正确过滤的输入构造恶意SMTP 语句,将攻击者控制的 SMTP 命令注入从应用程序传输到 SMTP 服务器的数据中,以发送垃圾邮件

			
		

	





	

		

			

				
					
UI12_AVAudioPlayer

				
			

			

				

					sOldiers_C的博客
				

				

					09-18
					
					1607
					
				

			

		

		

			
				
UI_AVAudioPlayer

			
		

	





	

		

			

				
					
[Android] 收录几个比较火的安卓网

				
			

			

				

					shine的现在进行时
				

				

					03-18
					
					2856
					
				

			

		

		

			
				
收集几个最热的安卓网站和论坛

			
		

	





	

		

			

				
					
http://www.symental.com/time/datetime.asp

				
			

			

				

					zhongheijituan的专栏
				

				

					04-07
					
					3534
					
				

			

		

		

			
				
http://www.symental.com/time/datetime.asp

			
		

	





	

		

			

				
					
avlang php,www.xcnxm.com

				
			

			

				

					weixin_39988888的博客
				

				

					03-11
					
					1万+
					
				

			

		

		

			
				
Domain Name: xcnxm.comRegistry Domain ID: 2006268495_DOMAIN_COM-VRSNRegistrar WHOIS Server: whois.ename.comRegistrar URL: http://www.ename.netUpdated Date: 2016-02-25T06:10:47ZCreation Date: 2016-02-2...

			
		

	





	

		

			

				
					
Avi系列:第 3部分 - 配置Avi Controller集群

				
			

			

				

					weixin_33669839的博客
				

				

					09-03
					
					1192
					
				

			

		

		

			
				
1、添加其他节点

①导航到 【Administration】-【Controller】-[Nodes],在右侧点击【Edit】按钮。



②在【Controller Cluster IP】处输入控制器的VIP,【Cluster Node】处分别输入另外2个控制器的IP地址,点击【Save】按钮进行保存配置。



2、检查集群状态

①配置完成后,检查集群状态,其中第一台Controlle的角色为Leader,其他两台的角色为Follower,三台状态均为 Active。
...

			
		

	





	

		

			

				
					
最近我的新作品,大家支持一下哦!

				
			

			

				

					知周博远
				

				

					10-25
					
					1092
					
				

			

		

		

			
				
最近搞了不少的网站,可是都没有去推广,大家支持一下哦:网址导航:http://www.hot7788.com/电影站:http://www.film.hot7788.com/美女帅哥站:http://www.pic.hot7788.com/小说站:http://www.story.hot7788.com/武汉同城交友站:http://www.wuhan.hot7788.com/

			
		

	





	

		

			

				
					
oracle电子邮件确认无显示,Oracle UTL_STMP - 无内容

					
最新发布

				
			

			

				

					06-01
				

			

		

		

			
				
您好,关于您提到的 Oracle UTL_SMTP 类库发送邮件无内容的问题,可能是因为您在发送邮件时没有添加邮件正文内容。在使用 UTL_SMTP 发送邮件时,需要调用 UTL_SMTP.WRITE_DATA 函数将邮件正文内容写入到邮件中。...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值