1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tchap: Forscher gelingt Anmeldung im…

E-Mail Adresse spoofen

  1. Thema

Neues Thema Ansicht wechseln


  1. E-Mail Adresse spoofen

    Autor: Pornstar 22.04.19 - 11:56

    Wie soll das bitteschön funktioniere?

    "Der Forscher hängte einfach eine valide E-Mail-Adresse, im konkreten Fall presidence@elysee.fr, an seine eigene Adresse an"

    Wenn ich auf meinem Mailserver so eine Adresse erstellen möchte geht das natürlich nicht, wird hier ein modifizierter Mailserver benutzt?

  2. Re: E-Mail Adresse spoofen

    Autor: trinkhorn 22.04.19 - 12:08

    Meine Vermutung wäre er hat folgendes in das Feld eingegeben:
    "Elliot@alderson.fr; presidence@elysee.fr" (oder wie auch immer seine eigene Adresse lautete) und war somit in Kopie der validen Email... so etwas simples wäre definitiv eine arge Sicherheitslücke, aber wenn ich mir so anschaue, was rumkommt wenn man sehr "exakte" Programmierer (sprich 100% Spec erfüllen, 0% denken) hat und Product Owner die selbst auch wenig Ahnung haben... nicht unwahrscheinlich

  3. Re: E-Mail Adresse spoofen

    Autor: maverick1977 22.04.19 - 12:18

    Mit ner einfachen Abfrage, Serverseitig, ob die Mail-Adresse den gültigen Standards entspricht, wäre diese Registrierung definitiv schief gelaufen. 2 mal @ in einer Mail-Adresse zum Beispiel ist ein Ding der Unmöglichkeit. Und alternative Mails sollte man erst eintragen können, wenn man registriert ist und nicht während der Registrierung selbst.

    Also, was die Macher sich da gedacht haben, war ein Gedankenfurz. Nicht mehr und nicht weniger.

  4. Re: E-Mail Adresse spoofen

    Autor: trinkhorn 22.04.19 - 12:44

    maverick1977 schrieb:
    --------------------------------------------------------------------------------
    > Mit ner einfachen Abfrage, [...]

    desshalb konnte es dann wahrscheinlich auch so schnell ("umgehend") behoben werden.

  5. Re: E-Mail Adresse spoofen

    Autor: robinx999 22.04.19 - 14:23

    maverick1977 schrieb:
    --------------------------------------------------------------------------------
    > Mit ner einfachen Abfrage, Serverseitig, ob die Mail-Adresse den gültigen
    > Standards entspricht, wäre diese Registrierung definitiv schief gelaufen. 2
    > mal @ in einer Mail-Adresse zum Beispiel ist ein Ding der Unmöglichkeit.

    Auch wenn ich es noch nie gesehen habe und auch nicht weiß ob es anderweitig Probleme gibt hier wird es diskutiert
    https://stackoverflow.com/questions/12355858/how-many-symbol-can-be-in-an-email-address
    https://stackoverflow.com/questions/12026842/how-to-validate-an-email-address-in-php/12026863#12026863
    Es wird auf die RFCs verwiesen:

    rfc5322
    rfc5321
    rfc3696
    rfc6531

    Es darf ein oder mehrere @ Zeichen im Local teil geben nur muss dieser Escaped sein hallo@welt@example.com ist nicht gültig, "hallo@welt"@example.com ist gültig wie es hiermit aussieht hallo\@welt@example.com da bin ich mir gerade nicht sicher (Ob Server damit aber klar kommen und ob die Checks die bei Anmeldungen verwendet werden damit klar kommen ist aber eine andere Frage)

    https://en.wikipedia.org/wiki/Email_address#Local-part
    space and special characters "(),:;<>@[\] are allowed with restrictions (they are only allowed inside a quoted string, as described in the paragraph below, and in addition, a backslash or double-quote must be preceded by a backslash);



    1 mal bearbeitet, zuletzt am 22.04.19 14:25 durch robinx999.

  6. Re: E-Mail Adresse spoofen

    Autor: schap23 22.04.19 - 14:24

    Wahrscheinlich verwendet die Software einen zu simplen Regular Expression, der nur das untersucht, was hinter dem letzten @ kommt.

  7. Re: E-Mail Adresse spoofen

    Autor: robinx999 22.04.19 - 14:34

    Achja für RFC 5322 wird folgender Regex forgeschlagen um die E-Mail Adresse auf validität zu prüfen und ich weiß gerarade nicht ob dies stimmt
    https://stackoverflow.com/questions/13992403/regex-validation-of-email-addresses-according-to-rfc5321-rfc5322

    ((([\t ]*\r\n)?[\t ]+)?[-!#-'*+/-9=?A-Z^-~]+(\.[-!#-'*+/-9=?A-Z^-~]+)*(([\t ]*\r\n)?[\t ]+)?|(([\t ]*\r\n)?[\t ]+)?"(((([\t ]*\r\n)?[\t ]+)?([]!#-[^-~]|(\\[\t -~])))+(([\t ]*\r\n)?[\t ]+)?|(([\t ]*\r\n)?[\t ]+)?)"(([\t ]*\r\n)?[\t ]+)?)@((([\t ]*\r\n)?[\t ]+)?[-!#-'*+/-9=?A-Z^-~]+(\.[-!#-'*+/-9=?A-Z^-~]+)*(([\t ]*\r\n)?[\t ]+)?|(([\t ]*\r\n)?[\t ]+)?\[((([\t ]*\r\n)?[\t ]+)?[!-Z^-~])*(([\t ]*\r\n)?[\t ]+)?](([\t ]*\r\n)?[\t ]+)?)

    Für rfc6531 findet man keinen Regex, hier sind auch Unicode Zeichen erlaubt

  8. Re: E-Mail Adresse spoofen

    Autor: Tigtor 22.04.19 - 20:59

    Da es sich um eine exklusive Anwendung handelt und eine offizielle Regierungsadresse nötig ist, wäre es imho sogar sinnvoll nicht nur den domainteil der emailadresse zu prüfen, sondern gleich gegen zu prüfen ob der komplette string aktuell als Adresse angelegt ist. Idealerweise auch in regelmäßigen Abständen erneut, um zB veraltete Adressen auszusperren.

    1000-7

  9. Re: E-Mail Adresse spoofen

    Autor: LoopBack 23.04.19 - 09:14

    Tigtor schrieb:
    --------------------------------------------------------------------------------
    > Da es sich um eine exklusive Anwendung handelt und eine offizielle
    > Regierungsadresse nötig ist, wäre es imho sogar sinnvoll nicht nur den
    > domainteil der emailadresse zu prüfen, sondern gleich gegen zu prüfen ob
    > der komplette string aktuell als Adresse angelegt ist.

    Scheint sogar der Fall zu sein, sie haben nur den check gründlich verkackt: "attacker@evil.com@invalid@elysee.fr" funktionierte wohl nicht, sondern nur "attacker@evil.com@presidence@elysee.fr". Und ja, in genau dieser Schreibweise, getrennt mit @, nicht mit ; (hatte ich aber auch zuerst angenommen mit dee golem Beschreibung)



    1 mal bearbeitet, zuletzt am 23.04.19 09:15 durch LoopBack.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Felix Böttcher GmbH & Co. KG, Köln
  2. Stadtwerke München GmbH, München
  3. ALLPLAN Development Germany GmbH, München
  4. Fresenius Kabi Deutschland GmbH, Bad Homburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (u. a. RTX 2080 ROG Strix Gaming Advanced für 699€, RTX 2080 SUPER Dual Evo OC für 739€ und...
  3. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Tesla-Fabrik in Brandenburg: Remote, Germany
Tesla-Fabrik in Brandenburg
Remote, Germany

Elon Musk steht auf Berlin, doch industrielle Großprojekte sind nicht die Stärke der Region. Ausgerechnet in die Nähe der ewigen Flughafen-Baustelle BER will Tesla seine Gigafactory 4 platzieren. Was spricht für und gegen den Standort Berlin/Brandenburg?
Eine Analyse von Dirk Kunde

  1. Gigafactory Tesla soll 4 Milliarden Euro in Brandenburg investieren
  2. 7.000 Arbeitsplätze Tesla will Gigafactory bei Berlin bauen
  3. Irreführende Angaben Wettbewerbszentrale verklagt Tesla wegen Autopilot-Werbung

Von Microsoft zu Linux und zurück: Es gab bei Limux keine unlösbaren Probleme
Von Microsoft zu Linux und zurück
"Es gab bei Limux keine unlösbaren Probleme"

Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.
Ein Interview von Jan Kleinert


    Von De-Aging zu Un-Deading: Wie Hollywood die Totenruhe stört
    Von De-Aging zu Un-Deading
    Wie Hollywood die Totenruhe stört

    De-Aging war gestern, jetzt werden die Toten zum Leben erweckt: James Dean übernimmt posthum eine Filmrolle. Damit überholt in Hollywood die Technik die Moral.
    Eine Analyse von Peter Osteried


      1. Red Dead Redemption 2 PC: Hohe Bildraten schaden nicht mehr der Gesundheit
        Red Dead Redemption 2 PC
        Hohe Bildraten schaden nicht mehr der Gesundheit

        Mit Updates versucht Rockstar Games, die technischen Probleme der PC-Version von Red Dead Redemption 2 zu lösen - inklusive eines kuriosen Fehlers bei hohen Bildraten. Die Entwickler haben eine Übersicht mit noch nicht korrigierten Bugs ins Netz gestellt.

      2. Auslandskoordination: Telekom dreht LTE an den Grenzen voll auf
        Auslandskoordination
        Telekom dreht LTE an den Grenzen voll auf

        Nach Vodafone nutzt jetzt auch die Telekom die Leistung ihrer LTE-Stadion an den Auslandsgrenzen. Während es bei Vodafone 50 Stationen waren, stellt die Telekom gleich 500 auf volle Leistung.

      3. Benzinpreis-Proteste: Internet in Iran bleibt weiter gesperrt
        Benzinpreis-Proteste
        Internet in Iran bleibt weiter gesperrt

        Seit mehreren Tagen ist das Internet in Iran nach blutigen Protesten weitgehend gesperrt. Nur fünf Prozent des normalen Traffics werden registriert.


      1. 17:44

      2. 17:17

      3. 16:48

      4. 16:30

      5. 16:22

      6. 16:15

      7. 15:08

      8. 14:47