В 2010 році я писав про витік IP адреси в електронних листах в статті Визначення IP автора е-майл листа. Тоді я розповів про заголовки X-Originating-IP та X-Sender-IP (найближчим часом оприлюдню нову статтю про веб додатки і сервіси електронної пошти, що додають ці заголовки в емайли). А зараз розповім про нові витоки інформації через емайл листи.
В електронних листах окрім IP відправника можна в заголовках знайти багато цікавого. Наприклад сервер, що відправив пошту, і всі проміжні хости, аж до сервера отримувача. Що дозволить перевірити чи не є підробленим емайл відправника, щоб його електронна пошта відповідала серверу, з якого надійшов лист.
А також в листах можуть бути Full path disclosure уразливості. Витік повного шляху відбувається через заголовок X-Source-Dir.
Формат заголовка X-Source-Dir може бути наступним:
X-Source-Dir: site:/public_html/bitrix/admin
Заголовок X-Source-Dir автоматично додає функція mail() в PHP. Тому розробники веб додатків мають самі прибирати цей заголовок (наприклад, замість використання цієї функції, використовувати клас phpMailer). В додатках на інших мовах програмування цієї проблеми немає.
Наявність цього заголовку залежить від налаштувань сервера - якщо увімкнене додавання заголовку X-Source-Dir, то він буде додаватися в листи відправленні через функцію mail(), Не всі розробники враховують це, тому на багатьох сайтах з php-додатками, які розсилають пошту, цей заголовок додається.
Ось приклади веб додатків, в листах від яких я зустрічав цей заголовок з FPD уразливістю: Bitrix, WordPress, Xoops Cube.
Також по X-Source-Dir, X-PHP-Originating-Script та інших заголовках в листі можна визначити, що за веб додаток відправляв листа. Це знадобиться для Fingerprinting. Особливо коли на сайті прихована назва веб додатку або шлях його розміщення на ресурсі.
