Уразливості в емайл розсилках

23:59 18.02.2011

В публічних емайл розсилках (mailing lists), також відомих як дискусійні групи (discussion groups), існує ряд уразливостей, про які я вже розповідав на прикладі WASC Web Security Mailing List (які я виявив в даній дискусійній групі в 2008 році). Що можуть використовуватися для проведення різних атак на розсилку та її дописувачів.

Основними уразливостями, що характерні всім емайл розсилкам, є наступні Abuse of Functionality та Insufficient Anti-automation уразливості. І всім користувачам дискусійних груп варто враховувати ризики їх використання.

Abuse of Functionality:

Коли участник посилає повідомлення в розсилку, після публікації воно посилається всім дописувачам. І погані хлопці (спамери), що підписані на розсилку, можуть встановити автовідповідач зі спамовим (чи зловмисним) повідомленням. І дане повідомлення автоматично відправиться на емайл відправника.

Так що спамерам навіть не потрібно знати емайли учасників розсилки, що надсилають до неї повідомлення, а лише потрібно підписатися на розсилку та встановити автовідповідач.

Abuse of Functionality:

Розсилка захищає емайли участників, що посилають повідомлення в розсилку (шляхом видозміни їх - обфускації). Але використовуючи підписку спамери можуть легко виявити емайли участників.

Тому що емайли доступні в тексті повідомлень (в чистому вигляді), що надсилаються всім дописувачам, коли участники надсилають їх до розсилки. Так що спамерам потрібно лише підписатися на розсилку і чекати повідомлень з емайлами, що прийдуть до них.

Insufficient Anti-automation:

В розсилках можлива автоматизована реєстрація. Що дозволить спамерам автотизовано підписуватися на розсилку та проводити дві вищезгадані атаки. І поєднуючи Insufficient Anti-automation з Abuse of Functionality уразливостями, спамери можуть автоматизовано відправляти спам чи автоматизовано збирати емайли для подальшого використання.


Leave a Reply

You must be logged in to post a comment.