Email injection

L’email injection o meglio “Iniezione per posta elettronica” è un problema di protezione che può verificarsi nelle applicazioni internet che vengono utilizzate per inviare messaggi email. Come nel caso dell’attacco SQL, questa vulnerabilità è uno di quelli facenti parte a una classe generale di vulnerabilità che si verificano quando un linguaggio di programmazione è incorporato all’interno di un altro. Spesso, infatti, c’è il bisogno di utilizzare più linguaggi di programmazione per avere una vasta e completa gamma di servizi, ma si rischia in questo caso di lasciarsi alle spalle questioni ben più serie come per esempio appunto la sicurezza dell’applicazione che si sta creando. Quando un modulo viene aggiunto, un utente malintenzionato potrebbe sfruttare la MIME format per aggiungere informazioni supplementari per il messaggio che viene inviato, come ad esempio un nuovo elenco di destinatari o un corpo del messaggio completamente diverso. Poiché il formato MIME utilizza un ritorno a capo per delimitare le informazioni in un messaggio e solo il messaggio prima determina la sua destinazione finale, l’aggiunta di ritorni a capo per i dati del modulo presentato può creare un libro agli ospiti da utilizzare per inviare migliaia di messaggi in una sola volta. Un malintenzionato spammer potrebbe usufruire di questa tattica per inviare un gran numero di messaggi in forma anonima, creando non pochi dispiaceri agli utenti del sito o applicazione web, ma anche agli amministratori che molto spesso si ritrovano a dover gestire queste situazioni che rallentano anche di tanto il corretto funzionamento del servizio. Ma come in ogni caso ci sono soluzioni anche facili da adottare; In rete sono presenti numerosi programmi che evitano e prevengono questi “attacchi spammer”; ve ne elenco alcuni tra i più conosciuti ed utilizzati:

–Comodo Antispam Gateway

–Spamihilator

–MailWasher Free

–Spam Fighter