bWAPP | Mail Header Injection(SMTP) Açığı

Merhaba değerli okurum, bir başka bWAPP Web Uygulama Güvenliği Açığı ile karşınızdayım.Bu uygulamamızda Mail Header Injection(SMTP) Açığını sizlere aktaracağım.Hiç vakit kayıp etmeden hemen uygulamamıza geçelim.


bWAPP | 3.Mail Header Injection (SMTP)

     SMTP üstbilgi enjeksiyon güvenlik açıkları, kullanıcı girdisi yeterli sanitizasyon olmadan e-posta üstbilgilerine yerleştirildiğinde ortaya çıkar ve saldırganın rasgele değerlerle ek üstbilgiler enjekte etmesiyle meydana gelir.

1.Saldırımızı seçiyoruz ve hack diyoruz.

2. Mozillaya ait bir eklenti olup bir siteden post veya get değerlerini almak için kullanılan, post ve get değerleri bir sitede üyeliğe sahip kullanıcıların şifre ve kullanıcı adlarını sitenin veritabanında sorgulayıp doğrulayan tamper datayı klavyemizdeki alt tuşuna basarak seçiyoruz.

3.Tamper datamızı yan tarafa alıyoruz.

4.Name kısmına sinan,e-mail kısmına bwapp@mailinator.com ve remark kısmına da herhangi bir şey yazabilirsiniz.

5.Tamper datayı başlatıyoruz.

6.Girdiğimiz bilgileri gönderiyoruz.

7.Bize gönderilen bilgiler incelensin mi diye soruyor. Tamper diyerek incelemeyi başlatıyoruz.

8.İnceleme popup sayfası açıldı buradan bilgileri enjekte ediyoruz.

9.E-mail kısmına &bcc:sinanaskn@gmail.com yazarak kendi e mailimizi enjekte ediyoruz.

10.Tamam diyoruz.

11.İmlecin üzerinde bulunduğu post işlemine tıklayarak detaylara bakıyoruz.

12.Detaylar alt kutucuklarda açıldı.

13.POSTDATA kısmına baktığımızda post işlemi bizim mail adresimize de yapmış olduğunu gördük.

Bir bWAPP Eğitimimizin sonuna gelmiş olduk,bir sonraki Web Uygulama Güvenliği Açığında görüşmek dileğiyle :)

Yorum Gönderme

0 Yorumlar