Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

SMTP Smuggling - новая техника спуфинга почтовых сообщений, opennews (??), 22-Дек-23, (0) [смотреть все] какой-то булшит, гнать из профессии, Аноним (1), 00:04 , 22-Дек-23, (1) +5 // Согласен Законодательно применить n и закрыли тему А заголовок Content-Length , Аноним (16), 06:10 , 22-Дек-23, (16) // Не Content-Length, не разбирает SMTP сам по себе никаких заголовков Добавить DAT, Tron is Whistling (?), 09:23 , 22-Дек-23, (24) // ну и естественно без DATALEN больше одного сообщения за заход не пускать , Tron is Whistling (?), 09:25 , 22-Дек-23, (26) +1 Поддерживаю, раз на парсют письмы Кто-нить займити джуна какого-нить пщай оформи, Аноним (72), 03:24 , 23-Дек-23, (72) –1 1Даже шокирует то, что диды , пися всё на Сях, так ТУПО спроектировали протоко, Аноним (80), 15:38 , 23-Дек-23, (80) –3 Да, надо было на жабоскриптах писать, желательно всё с нпмочки стянув Но вот про, Tron is Whistling (?), 22:40 , 23-Дек-23, (83) +1 На самом деле этот протокол никто долго не проектировал - его слепили из того, ч, Tron is Whistling (?), 22:42 , 23-Дек-23, (84) +1 Давно есть chunking и BDAT, но опционально , anonymous (??), 15:08 , 22-Дек-23, (50) // Ух ты, пропустил это расширение Ну вот его и оставить, причём запретив пайплайни, Tron is Whistling (?), 15:23 , 22-Дек-23, (53) Тогда передача между почтовыми серврами и gw-ями будет тормозить, all_glory_to_the_hypnotoad (ok), 16:50 , 22-Дек-23, (59) +1 Это было актуально при модемах На текущих скоростях и делеях сотню соединений вм, Tron is Whistling (?), 23:32 , 22-Дек-23, (69) это я тебе как сидящий возле достаточно большого почтовика вещаю, сквозь которы, Tron is Whistling (?), 23:34 , 22-Дек-23, (70) покажи свой smtp-сервер, который сделан строго по стандарту u-блюдочному кстати, лютый жабби... (?), 08:30 , 22-Дек-23, (21) –6 // ой, кармадрючеры обиделись много тут писателей smtp серверов-то на расте, к, лютый жабби... (?), 12:45 , 22-Дек-23, (36) –2 // А зачем кому-то писать такую скучную вещь как smtp сервер , Аноним (40), 13:41 , 22-Дек-23, (40) +1 Ты первый , Аноним (35), 11:59 , 22-Дек-23, (35) Прекрасный стандарт Можно и так трактовать и эдак, удобненько А главное все про, Аноним (-), 00:10 , 22-Дек-23, (2) –1 // Нельзя Просто в отдельные почтовые сервера зачем то доложили совместимостей нико, Ivan_83 (ok), 00:27 , 22-Дек-23, (3) +7 // потому что почта должна ходить И принимать все, отправлять - соблюдая станда, нах. (?), 08:58 , 22-Дек-23, (23) // x 400Почитал, интересно, kusb (?), 10:56 , 22-Дек-23, (33) Если бы к CRLF CRLF не понагородили алиасов - ничего бы не случилось, лишь пара , Ivan_83 (ok), 14:37 , 22-Дек-23, (44) +1 smtp как стандарт почты - не случилось бы Именно потому что тогда ВСЕ типы были, нах. (?), 16:30 , 24-Дек-23, (86) В стандарте чётко оговорено, какой разделитель Это всё ещё отголоски войны carr, Аноним (5), 00:31 , 22-Дек-23, (5) +5 JSON-чики это тоже plain text Нужно делать как сделали с HTTP 2, т е делать но, all_glory_to_the_hypnotoad (ok), 01:15 , 22-Дек-23, (8) –2 // Бинарные протоколы очень плохо заходят в индустрию Есть с десяток основных бинар, Ivan_83 (ok), 04:09 , 22-Дек-23, (15) +1 // Регулярно подвергаюсь кенселенгу на опенет за то что ругаю бинарные протоколы, п, ОШИБКА Отсутствуют данные в поле Name (?), 11:51 , 22-Дек-23, (34) +1 Я не говорил что они плохие, я говорил что бинарные протоколы очень сложно заход, Ivan_83 (ok), 14:34 , 22-Дек-23, (42) Для HTTP 1 очень даже нужно прогать на серверной части, и довольно долго и аккур, all_glory_to_the_hypnotoad (ok), 15:03 , 22-Дек-23, (48) +1 12299 питоновских structЯсно, уносите этого в 10-ю палату , scriptkiddis (?), 15:18 , 22-Дек-23, (51) +2 В мусоропровод с , нах. (?), 16:32 , 24-Дек-23, (87) Я писал про клиента, но и серверу для простых вещей много ума не надо Не знаю ни, Ivan_83 (ok), 19:04 , 22-Дек-23, (65) Важное преимущество этих протоколов состоит также в том, что их много Если рань, ОШИБКА Отсутствуют данные в поле Name (?), 16:50 , 22-Дек-23, (60) +2 То то программы в индустрии все не бинарники, процессоры прямо текст исполняют , Neon (??), 13:33 , 22-Дек-23, (39) В индустрии прогают люди, людям проще прочитать текст и написать текст а не зани, Ivan_83 (ok), 14:35 , 22-Дек-23, (43) Это было справедливо в какие-то 80-ые, когда ещё можно было попробовать глазами , all_glory_to_the_hypnotoad (ok), 14:53 , 22-Дек-23, (45) Тем не менее бинарные протоколы всё ещё плохо заходят Тот же nginx имеет реализа, Ivan_83 (ok), 15:00 , 22-Дек-23, (46) Можешь сколько угодно САМ СЕБЯ убеждать, что бинари - рулез, но практика и моя , Аноним (80), 15:31 , 23-Дек-23, (79) Согласился бы, не будь таких же приколов с JSON из-за разницы в стандартах , Чукча (?), 03:49 , 22-Дек-23, (14) Это примерно половина почтовых серверов Из крупных похоже только exim оказался , Аноним (4), 00:31 , 22-Дек-23, (4) +1 // Exim топчик, Вася (??), 00:57 , 22-Дек-23, (6) +1 // Axa https www cvedetails com vulnerability-list vendor_id-10919 product_id-1, OpenEcho (?), 01:26 , 22-Дек-23, (9) +2 // Error 1009Access deniedчто за говно , Аноним (41), 13:45 , 22-Дек-23, (41) УМВР, наверное ты с неправильного интернета смотришь На попробуй другую ссылку n, Анонимусс (?), 15:01 , 22-Дек-23, (47) Нацональностью не вышел , Аноним (67), 21:44 , 22-Дек-23, (67) –1 паспортом Дискриминация по национальному признаку - позапрошлый век и уже немод, нах. (?), 16:36 , 24-Дек-23, (88) Ты еще скажи, что паспорта и разрешение на вьезд а не на выезд - это плохо , Аноним (-), 17:38 , 24-Дек-23, (92) exim топовое шерето, Аноним (13), 02:43 , 22-Дек-23, (13) +2 Астрологи объявляют неделю расщеплений сначала Terrapin, теперь ещё и Smuggling, BratishkaErik (ok), 01:14 , 22-Дек-23, (7) // И самое главное ведь как всегда - к праздничкам подарунчик пока админы бухают, OpenEcho (?), 01:27 , 22-Дек-23, (10) A Sec Consult козлики могли бы сперва оповестить вендоров, как это принято, н, OpenEcho (?), 01:36 , 22-Дек-23, (11) +1 // Они то предупредили Все претензии к автору перевода, который поленился об этом , kazh (?), 02:38 , 22-Дек-23, (12) +1 // Предупредили Прям перед праздниками, в то время когда любая нормальная секьюрити, OpenEcho (?), 07:05 , 22-Дек-23, (17) // Скрыто модератором, Аноним (-), 12:54 , 22-Дек-23, (37) +1 Скрыто модератором, OpenEcho (?), 17:58 , 22-Дек-23, (62) На самом деле они подождали, пока уважаемые люди тм пофиксили, проблемы осталь, Аноним (38), 13:18 , 22-Дек-23, (38) // Вот поэтому - и козлы, OpenEcho (?), 18:04 , 22-Дек-23, (63) Wietse Venema, очередной раз - респект https www postfix org smtp-smuggling h, OpenEcho (?), 07:19 , 22-Дек-23, (19) +1 // Это частичное решение, которое при должной настойчивости можно обойти А менно, , Имя (?), 15:48 , 22-Дек-23, (56) // Какой нахрен пакет в TCP Для нудных да, TCP разбивается на пакеты при отправке, Аноним (61), 17:39 , 22-Дек-23, (61) Лучше, - чем ничего, OpenEcho (?), 18:06 , 22-Дек-23, (64) кортинге нигрузяца, Аноним (66), 19:23 , 22-Дек-23, (66) Заглянул на почтовики, reject_unauth_pipelining добавлено с какого-то там борода, Tron is Whistling (?), 08:41 , 22-Дек-23, (22) +1 // Заглянул на почтовики, увидел что хоть reject_unauth_pipelining присутствует с к, San (??), 09:24 , 22-Дек-23, (25) // А смысл Пока достаточно предотвращения pipelining в процессе обработки данных П, Tron is Whistling (?), 09:27 , 22-Дек-23, (27) // Мне кажется, что эти директивы все-таки немного разного назначенияОдна проверяет, San (??), 09:56 , 22-Дек-23, (29) +1 В любом случае обе можно обойти, авторизовавшись и выровняв пайплайн по границе , Tron is Whistling (?), 10:05 , 22-Дек-23, (31) Первая запрещает слать DATA в пайплайн, вместе с другими командами, не отдельным, Tron is Whistling (?), 10:09 , 22-Дек-23, (32) Всегда использовали 0 и не было никаких проблем, зачем придумали эту абракадабр, ИмяХ (ok), 09:58 , 22-Дек-23, (30) +1 // Правда что ли 0 не текст, что является проблемой для текстового протокола, да , Аноним (1), 10:11 , 23-Дек-23, (74) в hello, world ах Там да, там и повезти могло А в индустрии решения хуже n, User (??), 09:36 , 25-Дек-23, (93) Испытываю странные ощущения - настоящим почтовиком занимался в 10-е годы, сейчас, abu (?), 15:05 , 22-Дек-23, (49) // Да всем Потому что разосланный этим способом спам и тебе придёт, в том числе , Tron is Whistling (?), 15:25 , 22-Дек-23, (54) // С такой точки зрения - действительно так и есть , abu (?), 03:17 , 23-Дек-23, (71) Уж сколько раз твердили миру in-band signalling - смертельный грех Но только в, Аноним (55), 15:33 , 22-Дек-23, (55) Не уловил в чём проблема Ну один сервак считает это одним письмом, второй счита, Аноним (57), 16:18 , 22-Дек-23, (57) +1 // Неа Основная проблема вот в чем второе письмо может быть отправлено от имени по, Аноним (-), 16:49 , 22-Дек-23, (58) –1   // Так а сервак почему не проверяет от кого второе письмо Он проверяет только перв, Аноним (57), 21:51 , 22-Дек-23, (68) +1   // Какому хакеру Куда подключиться Допустим ты подключаешься на сервер, проходишь , EuPhobos (ok), 10:18 , 23-Дек-23, (75)   Это же smtp поднимите у себя сервер и отправляйте хоть по миллиону писем в секу, ыы (?), 13:05 , 23-Дек-23, (76)   Ты либо троллишь, либо никогда не поднимал такой сервер , Аноним (82), 19:13 , 23-Дек-23, (82) +3   Ну так проблема у несоответствующих клиентов, зачем поддерживать несоответствие,, EuPhobos (ok), 10:07 , 23-Дек-23, (73) то есть проблема в том что в этом случае подделывается поле не только From , но, ыы (?), 13:19 , 23-Дек-23, (77) +1 // SPF, Аноним (85), 07:38 , 24-Дек-23, (85) п-дюли, как ни странно А в этом случае - все следы закончатся на ТВОЕМ сервере И, нах. (?), 16:39 , 24-Дек-23, (89) 1,2,4,7,11,19,22,30,49,55,57,73,77

Сообщения

[Сортировка по времени | RSS]

	58. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	–1 +/–
	Сообщение от Аноним (-), 22-Дек-23, 16:49
	Неа. Основная проблема вот в чем "второе письмо может быть отправлено от имени пользователя, не аутентифицированного через "AUTH LOGIN", но выглядеть как корректное на стороне получателя" Т.е первое письмо делаем от васи пупкина и оно отправляется пользователем в мусорку/спам, а второе о гугла или сбера с просьбой срочно сменить пароль Посмотри какие на картинках заголовки и адреса.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+1 +/–
	Сообщение от Аноним (57), 22-Дек-23, 21:51
	Так а сервак почему не проверяет от кого второе письмо? Он проверяет только первое письмо в в соединении? Тогда ничто не мешает хакеру также подключиться и через \r\n отправить два письма.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от EuPhobos (ok), 23-Дек-23, 10:18
	Какому хакеру? Куда подключиться? Допустим ты подключаешься на сервер, проходишь аутентификацию, тебе разрешено отправить 10 писем в течении одной секунды, что бы не спамил почём зря, ты отправляешь одно письмо но с этими "неправильными" символами разделения которых в письме у тебя тысяча штук, и после каждого разные команды на отправку с разными адресами, по стандарту твоё письмо корректное и сервер обработает его как единое, и отправит дальше, а сл. сервер "туповатый", подумает что пришло 1000 писем с предыдущего сервера, который тебя проверил и всё норм. Ну и отправит 1000 писем на разные адреса. И так ещё 10 раз по 1000 в течении секунды, и потом каждую секунду так по 10000 писем от тебя. Вуаля, халявная рассылка. Пойди найди откуда оно летит.
	Ответить | Правка | Наверх | Cообщить модератору

	76. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от ыы (?), 23-Дек-23, 13:05
	Это же smtp. поднимите у себя сервер и отправляйте хоть по миллиону писем в секунду. Зачем вам это делать через чей то сервер?
	Ответить | Правка | Наверх | Cообщить модератору

	82. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+3 +/–
	Сообщение от Аноним (82), 23-Дек-23, 19:13
	> поднимите у себя сервер Ты либо троллишь, либо никогда не поднимал такой "сервер".
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема