 描述
敌人操纵电子邮件的标题和内容通过注入数据通过使用分隔符字符的协议。
扩展描述
许多应用程序允许用户通过填写字段发送电子邮件消息。例如,一个网站可能有一个链接到“这个网站与朋友分享”,用户提供收件人的电子邮件地址和web应用程序填写所有的其他领域,比如主题和正文。在此模式中,敌人将头部和身体信息添加到电子邮件消息通过注入额外的内容在一个输入字段用来构造一个标题的邮件消息。这种攻击利用的RFC 822要求在邮件消息头是由回车分隔。因此,敌人可以注入新的标题或内容只需添加一个回车,然后界定提供新的航向和机构的信息。这种攻击不会工作如果用户只能供应消息体自回车在体内被当作一个正常的性格。
典型的严重性
先决条件
| 目标应用程序必须允许用户发送电子邮件收件人,指定至少一个消息头字段内容,而且必须不能清洁的注入命令分隔符。 |
| 敌人必须能够访问目标邮件应用程序。 |
所需资源
分类法映射
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Prerequisites、Related_Attack_Patterns Resources_Required |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2019-09-30
(版本3.2) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Taxonomy_Mappings |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
