¿Es seguro para la aplicación web recibir y analizar correos electrónicos?

3

No estoy seguro, si esta pregunta debe reducirse únicamente a las aplicaciones web, pero ese es mi interés particular.

Supongamos que una aplicación web recibe (recupera del buzón) correos electrónicos, analiza el contenido, almacena cierta información en la base de datos y, posteriormente, se utiliza para preparar cierta información en la página web.

¿Esto abre riesgos de seguridad adicionales en comparación con los campos de entrada comunes como el campo de área de texto html donde el usuario puede ingresar cadenas?

¿Hay otras precauciones de seguridad si sabe que cualquier persona en el mundo puede enviar cualquier cosa y su aplicación lo recuperará y analizará?

    
pregunta Džuris 15.12.2015 - 17:54
fuente

3 respuestas

2

No hay ningún problema específico con el correo electrónico. El procesamiento de cualquier tipo de contenido externo (y, por lo tanto, probablemente, controlado por un atacante) tiene su riesgo y no solo en el servidor. Por ejemplo, mostrar el correo electrónico dentro de una aplicación web puede dar lugar a secuencias de comandos entre sitios, CSRF, etc., similar a cualquier otro contenido que se muestra en el navegador.

    
respondido por el Steffen Ullrich 15.12.2015 - 18:22
fuente
2

Muchas aplicaciones web ya realizan este tipo de análisis, incluso en software muy conocido. Sistemas de emisión de entradas (para el equipo de soporte), sistemas de reserva famosos, etc., donde los usuarios reciben notificaciones por correo electrónico y pueden responder directamente por correo electrónico a un "buzón" gestionado por la aplicación web.

La forma en que analizas el correo electrónico y lo que haces con su contenido es el punto. Dado que planea analizar y generar el contenido de estos correos electrónicos en una aplicación web, se aplican dos reglas:

  1. filtre en la entrada (y desinfecte)
  2. escape en la salida (para evitar XSS, en particular)
respondido por el Nicolas BONNEFOUS 15.12.2015 - 21:37
fuente
2

El peligro de tomar datos de una fuente no confiable desde una perspectiva técnica (a diferencia de cuestiones como recibir contenido ilegal) proviene de la posibilidad de tratar esos datos como una instrucción. Existen dos formas (sin intervención humana) que pueden suceder: su sistema está diseñado para hacerlo o hay una falla en su procesamiento que hace que los datos se traten como instrucciones. Lo primero podría existir en tu análisis. Por ejemplo, si busca URL de imágenes y sigue el enlace. Un ejemplo de esto último podría ser algo así como una saturación de búfer si recibe una gran cantidad de datos o una inyección de SQL.

    
respondido por el JimmyJames 15.12.2015 - 22:22
fuente

Lea otras preguntas en las etiquetas