1. 问题描述
执行利用不可信赖数据源的 IMAP/POP3/SMTP 命令,可能会导致 IMAP/POP3/SMTP 服务器以攻击者的名义执行恶意命令
2. 问题场景
当攻击者可以影响发送到 IMAP/POP3/SMTP 邮件服务器的命令时,就会发生 Mail Command Injection 漏洞
- 数据从不可信赖的数据源输入应用程序
- 数据被用作代表应用程序所执行命令的字符串或字符串的一部分
- 通过执行 IMAP/POP3/SMTP 命令,攻击者能够指示服务器执行恶意操作,例如发送垃圾邮件
2.1 IMAP
下面的代码使用一个 HTTP 请求参数来构建将发送到 IMAP 服务器的 CREATE 命令,攻击者可以利用此参数修改发送到服务器的命令,并使用 CRLF 字符注入新的命令
final String foldername = request.getParameter("folder");
IMAPFolder folder = (IMAPFolder) store.getFolder("INBOX");
...
folder.doCommand(new IMAPFolder.ProtocolCommand() {
@Override
public Object doCommand(IMAPProtocol imapProtocol) throws ProtocolException {
try {
imapProtocol.simpleCommand("CREATE " + foldername, null);
} catch (Exception e) {
// Handle Exception
}
return null;
}
});
2.2 POP3
下面的代码使用一个 HTTP 请求参数来构建将发送到 POP3 服务器的 USER 和 PASS 命令,攻击者可以利用此参数修改发送到服务器的命令,并使用 CRLF 字符注入新的命令
...
String username = request.getParameter("username");
String password = request.getParameter("password");
...
POP3SClient pop3 = new POP3SClient(proto, false);
pop3.login(username, password);
...
2.3 SMTP
下面的代码使用一个 HTTP 请求参数来构建将发送到 SMTP 服务器的 VRFY 命令,攻击者可以利用此参数修改发送到服务器的命令,并使用 CRLF 字符注入新的命令
...
String user = request.getParameter("user");
SMTPSSLTransport transport = new SMTPSSLTransport(session, new URLName(Utilities.getProperty("smtp.server")));
transport.connect(Utilities.getProperty("smtp.server"), username, password);
transport.simpleCommand("VRFY " + user);
...
3. 解决方案
应当禁止用户直接控制应用程序的 IMAP/POP3/SMTP 命令,在用户的输入会影响到命令执行的情况下,应将用户输入限制为从预定的安全命令集合中进行选择.如果输入中出现了恶意的内容,传递到命令执行函数的值将默认从安全命令集合中选择,或者程序将拒绝执行任何命令
在需要将用户的输入用作程序命令中的参数时,由于合法的参数集合实在很大或难以跟踪,使得这个方法通常都不切实际,开发者通常的做法是使用黑名单,在输入之前,黑名单会有选择的拒绝或避免潜在的危险字符,但是任何一个定义不安全内容的列表都很可能是不完整的,并且会严重地依赖于执行命令的环境,如果不这样,建议使用白名单,以便接受完全由这些经认可的字符组成的输入