通过HTML注入修改电子邮件

描述

钓鱼邮件攻击比较高阶的方式，就是获取对方泄露电子邮件，然后使用源码修改的方法替换一些元素，再通过重放或者其他方式发送，这类攻击在伪造企业认证邮箱，企业产品介绍邮箱上屡试不爽。回想一下是否收到过类似下面的邮件：

下面给出一下该技术描述和一些应对措施。

攻击场景

邮箱点击源码编辑功能，能够自定义HTML内容，如：

发送邮件内容如下：

但是源码编辑功能，我们可以隐藏相关属性，比如

<!DOCTYPE html><html><body><br><p>Hello </p><style>p{display:none;}</style><span>something hidden</span><p></p><p style="margin-left: 10px;">How are you?</p><p>Thanks</p></body></html>

那么原始页脚，或者标签内容就会被隐藏，但是实际它是存在的。

比如在前端中可以使用<!—来注释原始页脚内容为我们定义的内容，如我们构造如下链接：

解析内容如下：

Hello mother fuck
How are you?
Thanks
不想收到此类邮件？点我

修改内容如下：

有些邮件发送内容，邮箱提供商可能把携带HTML的内容b64编码发送：

此外，攻击者可以伪造忘记密码之类的邮件，并在发送邮件的原始文件中，把HOST改成攻击者的服务器：

那用户重置的密码的请求就会转发给攻击者的服务。

防护场景

1.针对包含各类URI的邮件，查看源码，代码审计！2.如果名字显示在电子邮件中，请将姓名更改为 test<b>12345</b> 并在电子邮件源中搜索 test 以查找该值添加到 HTML 的位置。有点类似于注入 XSS 负载，但这里我们无法执行 JavaScript。如果test字符串中的粗体标签在电子邮件源中未编码，则说明可能存在 HTML 注入。3.禁用 HTML，这可能导致很多邮件乱码排序

原文始发于微信公众号（TIPFactory情报工厂）：通过HTML注入修改电子邮件