Blog de Helton Duarte

Olá leitores!

O post hoje tem um caráter bem técnico, mas curto, e fala de uma linguagem da qual eu não sou nem tão familiarizado, contudo é bastante difundida no mercado de desenvolvimento Web: o PHP. Esse tópico foi sugestão do Mayron Cachina, veja seu twitter e site. Faça você também sugestões de assuntos para serem postados e, para ter sempre informações sobre tecnologia, me siga no twitter.

O E-mail Injection é uma vulnerabilidade que pode ocorrer em aplicações de internet que enviam e-mails, sendo o caso mais conhecido ao usar a função mail() do PHP (entretanto, pode ocorrer em qualquer linguagem web). Tudo ocorre devido ao formato de uma mensagem do protocolo MIME, pois ela delimita os campos por “Carriage Return”, permitindo usuários maliciosos inserirem essas quebras de linha ao final do Remetente da mensagem, por exemplo, e colocando uma imensa lista de CC (cópias) para mandar SPAM. Veja abaixo:

Sender: sender@anonymous.www%0ACc:recipient@someothersite.xxx
Subject: ahem
Message: My Message…

Os dados da mensagem MIME ficarão da seguinte maneira (gerando o SPAM que o spammer quiser):

To: recipient@victim.xxx
Subject: ahem
From: sender@anonymous.xxx
Cc:recipient@someothersite.xxx

OBS: Para quem não sabe, o código hexadecimal para quebrar linha é %0A.

Para evitar esse ENORME problema, é necessário criar uma função para avaliar o conteúdo das variáveis recebidas do usuário, fazendo simples testes se há quebra de linha no meio dos campos, evitando o envio dos SPAMs e, muitas vezes, assegurando a integridade da imagem da empresa. Viu como é fácil? Portanto, não só os programadores PHP, mas todos os que mexem com Web, não podem mais cometer esses erros. Se quiser de mais informações, como alguns códigos de exemplos e tal, veja os seguintes links:

• damonkohler.com – Inglês
  
• MeioCódigo.com – Português
  
• thesitewizard.com – Inglês
  

Posts interessantes:

• XNA – A fábrica de jogos da Microsoft
• E3 2009 – Uma revolução
• Computação em nuvem: Evolução?

E aí pessoal, o que acharam? Façam comentários! Sugiram ideias para os próximos posts! Conte também suas experiências com essa situação de E-mail Injection.

Helton de Melo Duarte

“Guia-me na tua verdade e ensina-me, pois tu és o Deus da minha salvação; por ti estou esperando todo o dia.” Salmos 25.5

This entry was posted on sexta-feira, junho 19th, 2009 at 17:15 and is filed under Programação. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.