Внедрение электронной почты — это уязвимость безопасности , которая может возникнуть в интернет- приложениях , используемых для отправки сообщений электронной почты . Это почтовый эквивалент HTTP-заголовка . Как и атаки с помощью SQL-инъекций , эта уязвимость относится к общему классу уязвимостей, которые возникают, когда один язык программирования встроен в другой.
Когда на веб- страницу добавляется форма , которая передает данные в веб-приложение, злоумышленник может использовать формат MIME для добавления к отправляемому сообщению дополнительной информации, например нового списка получателей или совершенно другого тела сообщения. Поскольку в формате MIME для разделения информации в сообщении используется возврат каретки , и только необработанное сообщение определяет его конечный пункт назначения, добавление возврата каретки к отправленным данным формы может позволить использовать простую гостевую книгу для одновременной отправки тысяч сообщений. Злонамеренный спамер может использовать эту тактику для анонимной отправки большого количества сообщений. [1]
Эта уязвимость потенциально может затронуть любое приложение, которое отправляет сообщения электронной почты на основе данных от произвольных пользователей.