Hello there, ('ω')ノ
不適切な入力検証は電子メールスパムにつながるを。
脆弱性:
メールコンテンツインジェクション
記事:
https://akshayravic09yc47.medium.com/improper-input-validation-leads-to-email-spamming-5d1a53b2a579
今回は、不適切な入力検証がターゲット (redacted.com) で。
電子メールスパムにつながることをどのように発見したかを。
いつものようにターゲットでテストしているときに。
プロファイルの姓名を編集するオプションがあり。
そのため、その機能をテストしたとき、入力文字数の制限がないことに気付き。
DOS よりも何ができるかを考えて。
そこで、他の興味深いエンドポイントを探し始めたところ。
突然機能の 1つに追いつき。
メールで他のユーザを招待するオプションがあったので。
他のユーザを招待しようとすると、このようなメールが届き。
招待メールを確認したところ、ユーザ名の代わりに姓と名が表示されていたので。
姓と名を他のスパムメッセージに変更したらどうなるか考えて。
最初と最後を編集して。
名前を変えて再度招待機能を使ったらこんなメールが届いて。
公式サポートセンターのメールIDからメールが届き。
そして興味深いのは、既存のユーザを招待することもできるということで。
ドメインはユーザが存在するかどうかを検証しておらず。
このようにして、サポート メール ID を介して。
スパムやフィッシングなどを行うことができて。
Best regards, (^^ゞ