发送者永远不会看到收件人的电子邮件地址。这个地址只有服务器知道。
如果这个应用程序存在CRLF攻击安全漏洞,电子邮件的发件人可以通过创建下面这样的一行主题来破坏收件人的匿名性:
Subject: Peekaboo, I see youBcc: [email protected]
当有安全漏洞的应用程序得到这个数据的时候,它向这个邮件的文件头增加一个不需要的行,创建一个发送到发件人邮件地址的这封邮件的盲送副本。在这个副本中,“To:”地址是看不到的,因此把收件人的邮件地址暴露给发送者。
使用良好的编程技术能够避免包括CRLF攻击在内的注入攻击。要使你的应用程序不受CRFL注入攻击,需要你保持与防御SQL注入攻击等其它类型的注入攻击一样的警惕性:永远不要相信输入的内页码:[1] [2] [3] [4] [5] 第4页、共5页 |
