Coders Conquer Security: Serie Share & Learn: Inyección de encabezados de correo electrónico
Hoy en día, es común que los sitios web y las aplicaciones permitan a los usuarios enviar comentarios, recordatorios de citas y otros datos a través de una aplicación mediante el correo electrónico. Normalmente, este proceso es bastante benigno y la mayoría de las personas ni siquiera piensan en él en términos de un posible riesgo de seguridad.
Sin embargo, como cualquier otro elemento de diseño que permita la entrada del usuario, si no se configuran correctamente, estas funciones aparentemente intrascendentes pueden ser manipuladas por usuarios malintencionados con fines nefastos. Todo lo que se necesita es dar al usuario la posibilidad de introducir código en el campo de entrada para que el servidor lo procese por error. De repente, una aplicación de correo electrónico puede convertirse en un arma.
En este episodio aprenderemos:
- Cómo pueden los atacantes activar una inyección de encabezados de correo electrónico
- Por qué son peligrosas las inyecciones de encabezados de correo electrónico
- Técnicas que pueden corregir esta vulnerabilidad.
¿Cómo activan los atacantes una inyección de encabezado de correo electrónico?
Aunque no suele considerarse programable, la mayoría de las aplicaciones o funciones de contacto por correo electrónico que se incluyen en sitios web o aplicaciones pueden aceptar entradas que cambien la naturaleza de la consulta. Normalmente, el servidor lo hace automáticamente después de que un usuario haya introducido su información, como su dirección de correo electrónico, en el campo del contrato. Luego, el programa configura el mensaje, agrega los destinatarios apropiados y envía el mensaje utilizando su servidor de correo electrónico predeterminado.
Una solicitud POST típica por correo electrónico podría tener este aspecto:
PUBLICACIÓN /contact.php HTTP/1.1
Anfitrión: www.example.com
Y genere un código con este aspecto después de que un usuario haya introducido su información:
name=realName&replyto= RealName@ValidServer.com &message=Recordatorio de su cita
El problema se produce cuando los piratas informáticos comienzan a inyectar código en el proceso en lugar de solo su información de contacto. Esto no es diferente a un ataque de inyección SQL, sino que se realiza contra la aplicación de correo electrónico. Un ejemplo de una consulta manipulada que, en su lugar, enviaría spam desde tu aplicación a un usuario objetivo podría tener este aspecto:
name=FakeName\nbcc: SpammedVictim@TargetAddress.com &ReplyTo= FakeName@ValidServer.com &message=Mensaje de spam
¿Por qué es peligrosa la inyección de encabezados de correo electrónico?
Dependiendo de la habilidad del usuario malintencionado y de sus intenciones, los ataques de inyección de encabezados de correo electrónico pueden ser desde simplemente molestos hasta altamente peligrosos en términos de gravedad. En el extremo inferior de la escala de gravedad, es posible que puedan insertar su información de contacto en el campo BCC de un mensaje saliente enviado a un buzón secreto o no revelado de la empresa y, de este modo, revelárselo a un pirata informático.
Y lo que es más preocupante, podría permitirles controlar completamente tu servidor de correo electrónico para enviar correos electrónicos de spam, suplantación de identidad u otros ataques desde tu organización. No necesitarían fingir el hecho de que el correo electrónico proviene de sus servidores internos, porque en realidad se originaría allí. Y si no supervisas esa actividad, pueden incluso automatizar el proceso, enviando cientos o miles de correos electrónicos a través de los servidores de tu organización, de forma que parezca que estás instigando esa actividad.
Eliminar el problema de la inyección de encabezados de correo electrónico
Al igual que con Inyección SQL y otros ataques de esta naturaleza, la clave para eliminar la posibilidad de que un usuario malintencionado aproveche la vulnerabilidad de un encabezado de correo electrónico es no confiar nunca en las entradas del usuario. Si un usuario es capaz de introducir información, aunque parezca un proceso trivial, como introducir su dirección de correo electrónico, hay que asumir lo peor. O al menos asuma que lo peor es posible.
La validación de entrada se debe realizar para todos los parámetros, y esto incluye al agregar una capacidad de contacto por correo electrónico a una aplicación o sitio web. Las listas blancas se pueden usar para habilitar específicamente los procesos y campos que consideres válidos y, al mismo tiempo, denegar todo lo demás. De hecho, la mayoría de los marcos tienen bibliotecas disponibles que se pueden usar para ayudar a limitar las funciones únicamente a las necesarias. Si lo hace, evitará que sus servidores reconozcan y procesen cualquier código o comando ingresado por usuarios malintencionados.
Más información sobre las inyecciones de encabezados de correo electrónico
Para leer más, puede echar un vistazo a lo que dice OWASP sobre inyecciones de encabezados de correo electrónico. También puedes poner a prueba tus nuevos conocimientos defensivos con el demo gratuita de la plataforma Secure Code Warrior, que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para obtener más información sobre cómo derrotar esta vulnerabilidad y la galería de otras amenazas de los delincuentes, visita la Blog de Secure Code Warrior.
¿Crees que estás listo para encontrar y corregir una inyección de correo electrónico ahora mismo? Dirígete a la plataforma y pon a prueba tus habilidades: [Empieza aquí]
Es común que los sitios web y las aplicaciones permitan a los usuarios enviar comentarios y otros datos a través de una aplicación mediante el correo electrónico. Y la mayoría de las personas ni siquiera piensan en ello en términos de un posible riesgo de seguridad.
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Hoy en día, es común que los sitios web y las aplicaciones permitan a los usuarios enviar comentarios, recordatorios de citas y otros datos a través de una aplicación mediante el correo electrónico. Normalmente, este proceso es bastante benigno y la mayoría de las personas ni siquiera piensan en él en términos de un posible riesgo de seguridad.
Sin embargo, como cualquier otro elemento de diseño que permita la entrada del usuario, si no se configuran correctamente, estas funciones aparentemente intrascendentes pueden ser manipuladas por usuarios malintencionados con fines nefastos. Todo lo que se necesita es dar al usuario la posibilidad de introducir código en el campo de entrada para que el servidor lo procese por error. De repente, una aplicación de correo electrónico puede convertirse en un arma.
En este episodio aprenderemos:
- Cómo pueden los atacantes activar una inyección de encabezados de correo electrónico
- Por qué son peligrosas las inyecciones de encabezados de correo electrónico
- Técnicas que pueden corregir esta vulnerabilidad.
¿Cómo activan los atacantes una inyección de encabezado de correo electrónico?
Aunque no suele considerarse programable, la mayoría de las aplicaciones o funciones de contacto por correo electrónico que se incluyen en sitios web o aplicaciones pueden aceptar entradas que cambien la naturaleza de la consulta. Normalmente, el servidor lo hace automáticamente después de que un usuario haya introducido su información, como su dirección de correo electrónico, en el campo del contrato. Luego, el programa configura el mensaje, agrega los destinatarios apropiados y envía el mensaje utilizando su servidor de correo electrónico predeterminado.
Una solicitud POST típica por correo electrónico podría tener este aspecto:
PUBLICACIÓN /contact.php HTTP/1.1
Anfitrión: www.example.com
Y genere un código con este aspecto después de que un usuario haya introducido su información:
name=realName&replyto= RealName@ValidServer.com &message=Recordatorio de su cita
El problema se produce cuando los piratas informáticos comienzan a inyectar código en el proceso en lugar de solo su información de contacto. Esto no es diferente a un ataque de inyección SQL, sino que se realiza contra la aplicación de correo electrónico. Un ejemplo de una consulta manipulada que, en su lugar, enviaría spam desde tu aplicación a un usuario objetivo podría tener este aspecto:
name=FakeName\nbcc: SpammedVictim@TargetAddress.com &ReplyTo= FakeName@ValidServer.com &message=Mensaje de spam
¿Por qué es peligrosa la inyección de encabezados de correo electrónico?
Dependiendo de la habilidad del usuario malintencionado y de sus intenciones, los ataques de inyección de encabezados de correo electrónico pueden ser desde simplemente molestos hasta altamente peligrosos en términos de gravedad. En el extremo inferior de la escala de gravedad, es posible que puedan insertar su información de contacto en el campo BCC de un mensaje saliente enviado a un buzón secreto o no revelado de la empresa y, de este modo, revelárselo a un pirata informático.
Y lo que es más preocupante, podría permitirles controlar completamente tu servidor de correo electrónico para enviar correos electrónicos de spam, suplantación de identidad u otros ataques desde tu organización. No necesitarían fingir el hecho de que el correo electrónico proviene de sus servidores internos, porque en realidad se originaría allí. Y si no supervisas esa actividad, pueden incluso automatizar el proceso, enviando cientos o miles de correos electrónicos a través de los servidores de tu organización, de forma que parezca que estás instigando esa actividad.
Eliminar el problema de la inyección de encabezados de correo electrónico
Al igual que con Inyección SQL y otros ataques de esta naturaleza, la clave para eliminar la posibilidad de que un usuario malintencionado aproveche la vulnerabilidad de un encabezado de correo electrónico es no confiar nunca en las entradas del usuario. Si un usuario es capaz de introducir información, aunque parezca un proceso trivial, como introducir su dirección de correo electrónico, hay que asumir lo peor. O al menos asuma que lo peor es posible.
La validación de entrada se debe realizar para todos los parámetros, y esto incluye al agregar una capacidad de contacto por correo electrónico a una aplicación o sitio web. Las listas blancas se pueden usar para habilitar específicamente los procesos y campos que consideres válidos y, al mismo tiempo, denegar todo lo demás. De hecho, la mayoría de los marcos tienen bibliotecas disponibles que se pueden usar para ayudar a limitar las funciones únicamente a las necesarias. Si lo hace, evitará que sus servidores reconozcan y procesen cualquier código o comando ingresado por usuarios malintencionados.
Más información sobre las inyecciones de encabezados de correo electrónico
Para leer más, puede echar un vistazo a lo que dice OWASP sobre inyecciones de encabezados de correo electrónico. También puedes poner a prueba tus nuevos conocimientos defensivos con el demo gratuita de la plataforma Secure Code Warrior, que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para obtener más información sobre cómo derrotar esta vulnerabilidad y la galería de otras amenazas de los delincuentes, visita la Blog de Secure Code Warrior.
¿Crees que estás listo para encontrar y corregir una inyección de correo electrónico ahora mismo? Dirígete a la plataforma y pon a prueba tus habilidades: [Empieza aquí]
Hoy en día, es común que los sitios web y las aplicaciones permitan a los usuarios enviar comentarios, recordatorios de citas y otros datos a través de una aplicación mediante el correo electrónico. Normalmente, este proceso es bastante benigno y la mayoría de las personas ni siquiera piensan en él en términos de un posible riesgo de seguridad.
Sin embargo, como cualquier otro elemento de diseño que permita la entrada del usuario, si no se configuran correctamente, estas funciones aparentemente intrascendentes pueden ser manipuladas por usuarios malintencionados con fines nefastos. Todo lo que se necesita es dar al usuario la posibilidad de introducir código en el campo de entrada para que el servidor lo procese por error. De repente, una aplicación de correo electrónico puede convertirse en un arma.
En este episodio aprenderemos:
- Cómo pueden los atacantes activar una inyección de encabezados de correo electrónico
- Por qué son peligrosas las inyecciones de encabezados de correo electrónico
- Técnicas que pueden corregir esta vulnerabilidad.
¿Cómo activan los atacantes una inyección de encabezado de correo electrónico?
Aunque no suele considerarse programable, la mayoría de las aplicaciones o funciones de contacto por correo electrónico que se incluyen en sitios web o aplicaciones pueden aceptar entradas que cambien la naturaleza de la consulta. Normalmente, el servidor lo hace automáticamente después de que un usuario haya introducido su información, como su dirección de correo electrónico, en el campo del contrato. Luego, el programa configura el mensaje, agrega los destinatarios apropiados y envía el mensaje utilizando su servidor de correo electrónico predeterminado.
Una solicitud POST típica por correo electrónico podría tener este aspecto:
PUBLICACIÓN /contact.php HTTP/1.1
Anfitrión: www.example.com
Y genere un código con este aspecto después de que un usuario haya introducido su información:
name=realName&replyto= RealName@ValidServer.com &message=Recordatorio de su cita
El problema se produce cuando los piratas informáticos comienzan a inyectar código en el proceso en lugar de solo su información de contacto. Esto no es diferente a un ataque de inyección SQL, sino que se realiza contra la aplicación de correo electrónico. Un ejemplo de una consulta manipulada que, en su lugar, enviaría spam desde tu aplicación a un usuario objetivo podría tener este aspecto:
name=FakeName\nbcc: SpammedVictim@TargetAddress.com &ReplyTo= FakeName@ValidServer.com &message=Mensaje de spam
¿Por qué es peligrosa la inyección de encabezados de correo electrónico?
Dependiendo de la habilidad del usuario malintencionado y de sus intenciones, los ataques de inyección de encabezados de correo electrónico pueden ser desde simplemente molestos hasta altamente peligrosos en términos de gravedad. En el extremo inferior de la escala de gravedad, es posible que puedan insertar su información de contacto en el campo BCC de un mensaje saliente enviado a un buzón secreto o no revelado de la empresa y, de este modo, revelárselo a un pirata informático.
Y lo que es más preocupante, podría permitirles controlar completamente tu servidor de correo electrónico para enviar correos electrónicos de spam, suplantación de identidad u otros ataques desde tu organización. No necesitarían fingir el hecho de que el correo electrónico proviene de sus servidores internos, porque en realidad se originaría allí. Y si no supervisas esa actividad, pueden incluso automatizar el proceso, enviando cientos o miles de correos electrónicos a través de los servidores de tu organización, de forma que parezca que estás instigando esa actividad.
Eliminar el problema de la inyección de encabezados de correo electrónico
Al igual que con Inyección SQL y otros ataques de esta naturaleza, la clave para eliminar la posibilidad de que un usuario malintencionado aproveche la vulnerabilidad de un encabezado de correo electrónico es no confiar nunca en las entradas del usuario. Si un usuario es capaz de introducir información, aunque parezca un proceso trivial, como introducir su dirección de correo electrónico, hay que asumir lo peor. O al menos asuma que lo peor es posible.
La validación de entrada se debe realizar para todos los parámetros, y esto incluye al agregar una capacidad de contacto por correo electrónico a una aplicación o sitio web. Las listas blancas se pueden usar para habilitar específicamente los procesos y campos que consideres válidos y, al mismo tiempo, denegar todo lo demás. De hecho, la mayoría de los marcos tienen bibliotecas disponibles que se pueden usar para ayudar a limitar las funciones únicamente a las necesarias. Si lo hace, evitará que sus servidores reconozcan y procesen cualquier código o comando ingresado por usuarios malintencionados.
Más información sobre las inyecciones de encabezados de correo electrónico
Para leer más, puede echar un vistazo a lo que dice OWASP sobre inyecciones de encabezados de correo electrónico. También puedes poner a prueba tus nuevos conocimientos defensivos con el demo gratuita de la plataforma Secure Code Warrior, que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para obtener más información sobre cómo derrotar esta vulnerabilidad y la galería de otras amenazas de los delincuentes, visita la Blog de Secure Code Warrior.
¿Crees que estás listo para encontrar y corregir una inyección de correo electrónico ahora mismo? Dirígete a la plataforma y pon a prueba tus habilidades: [Empieza aquí]
Hoy en día, es común que los sitios web y las aplicaciones permitan a los usuarios enviar comentarios, recordatorios de citas y otros datos a través de una aplicación mediante el correo electrónico. Normalmente, este proceso es bastante benigno y la mayoría de las personas ni siquiera piensan en él en términos de un posible riesgo de seguridad.
Sin embargo, como cualquier otro elemento de diseño que permita la entrada del usuario, si no se configuran correctamente, estas funciones aparentemente intrascendentes pueden ser manipuladas por usuarios malintencionados con fines nefastos. Todo lo que se necesita es dar al usuario la posibilidad de introducir código en el campo de entrada para que el servidor lo procese por error. De repente, una aplicación de correo electrónico puede convertirse en un arma.
En este episodio aprenderemos:
- Cómo pueden los atacantes activar una inyección de encabezados de correo electrónico
- Por qué son peligrosas las inyecciones de encabezados de correo electrónico
- Técnicas que pueden corregir esta vulnerabilidad.
¿Cómo activan los atacantes una inyección de encabezado de correo electrónico?
Aunque no suele considerarse programable, la mayoría de las aplicaciones o funciones de contacto por correo electrónico que se incluyen en sitios web o aplicaciones pueden aceptar entradas que cambien la naturaleza de la consulta. Normalmente, el servidor lo hace automáticamente después de que un usuario haya introducido su información, como su dirección de correo electrónico, en el campo del contrato. Luego, el programa configura el mensaje, agrega los destinatarios apropiados y envía el mensaje utilizando su servidor de correo electrónico predeterminado.
Una solicitud POST típica por correo electrónico podría tener este aspecto:
PUBLICACIÓN /contact.php HTTP/1.1
Anfitrión: www.example.com
Y genere un código con este aspecto después de que un usuario haya introducido su información:
name=realName&replyto= RealName@ValidServer.com &message=Recordatorio de su cita
El problema se produce cuando los piratas informáticos comienzan a inyectar código en el proceso en lugar de solo su información de contacto. Esto no es diferente a un ataque de inyección SQL, sino que se realiza contra la aplicación de correo electrónico. Un ejemplo de una consulta manipulada que, en su lugar, enviaría spam desde tu aplicación a un usuario objetivo podría tener este aspecto:
name=FakeName\nbcc: SpammedVictim@TargetAddress.com &ReplyTo= FakeName@ValidServer.com &message=Mensaje de spam
¿Por qué es peligrosa la inyección de encabezados de correo electrónico?
Dependiendo de la habilidad del usuario malintencionado y de sus intenciones, los ataques de inyección de encabezados de correo electrónico pueden ser desde simplemente molestos hasta altamente peligrosos en términos de gravedad. En el extremo inferior de la escala de gravedad, es posible que puedan insertar su información de contacto en el campo BCC de un mensaje saliente enviado a un buzón secreto o no revelado de la empresa y, de este modo, revelárselo a un pirata informático.
Y lo que es más preocupante, podría permitirles controlar completamente tu servidor de correo electrónico para enviar correos electrónicos de spam, suplantación de identidad u otros ataques desde tu organización. No necesitarían fingir el hecho de que el correo electrónico proviene de sus servidores internos, porque en realidad se originaría allí. Y si no supervisas esa actividad, pueden incluso automatizar el proceso, enviando cientos o miles de correos electrónicos a través de los servidores de tu organización, de forma que parezca que estás instigando esa actividad.
Eliminar el problema de la inyección de encabezados de correo electrónico
Al igual que con Inyección SQL y otros ataques de esta naturaleza, la clave para eliminar la posibilidad de que un usuario malintencionado aproveche la vulnerabilidad de un encabezado de correo electrónico es no confiar nunca en las entradas del usuario. Si un usuario es capaz de introducir información, aunque parezca un proceso trivial, como introducir su dirección de correo electrónico, hay que asumir lo peor. O al menos asuma que lo peor es posible.
La validación de entrada se debe realizar para todos los parámetros, y esto incluye al agregar una capacidad de contacto por correo electrónico a una aplicación o sitio web. Las listas blancas se pueden usar para habilitar específicamente los procesos y campos que consideres válidos y, al mismo tiempo, denegar todo lo demás. De hecho, la mayoría de los marcos tienen bibliotecas disponibles que se pueden usar para ayudar a limitar las funciones únicamente a las necesarias. Si lo hace, evitará que sus servidores reconozcan y procesen cualquier código o comando ingresado por usuarios malintencionados.
Más información sobre las inyecciones de encabezados de correo electrónico
Para leer más, puede echar un vistazo a lo que dice OWASP sobre inyecciones de encabezados de correo electrónico. También puedes poner a prueba tus nuevos conocimientos defensivos con el demo gratuita de la plataforma Secure Code Warrior, que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para obtener más información sobre cómo derrotar esta vulnerabilidad y la galería de otras amenazas de los delincuentes, visita la Blog de Secure Code Warrior.
¿Crees que estás listo para encontrar y corregir una inyección de correo electrónico ahora mismo? Dirígete a la plataforma y pon a prueba tus habilidades: [Empieza aquí]
%20(1).avif)
.avif)
