Hello there, ('ω')ノ

 

不適切な入力検証は電子メールスパムにつながるを。

 

脆弱性：

　メールコンテンツインジェクション

 

記事：

　https://akshayravic09yc47.medium.com/improper-input-validation-leads-to-email-spamming-5d1a53b2a579

 

今回は、不適切な入力検証がターゲット (redacted.com) で。

電子メールスパムにつながることをどのように発見したかを。

 

いつものようにターゲットでテストしているときに。

プロファイルの姓名を編集するオプションがあり。

そのため、その機能をテストしたとき、入力文字数の制限がないことに気付き。

DOS よりも何ができるかを考えて。

 

 

そこで、他の興味深いエンドポイントを探し始めたところ。

突然機能の １つに追いつき。

メールで他のユーザを招待するオプションがあったので。

他のユーザを招待しようとすると、このようなメールが届き。

 

 

招待メールを確認したところ、ユーザ名の代わりに姓と名が表示されていたので。

姓と名を他のスパムメッセージに変更したらどうなるか考えて。

最初と最後を編集して。

 

 

名前を変えて再度招待機能を使ったらこんなメールが届いて。

 

 

公式サポートセンターのメールIDからメールが届き。

そして興味深いのは、既存のユーザを招待することもできるということで。

ドメインはユーザが存在するかどうかを検証しておらず。

このようにして、サポート メール ID を介して。

スパムやフィッシングなどを行うことができて。

 

Best regards, (^^ゞ