Команда LOGIN принимает два аргумента: имя пользователя и пароль. Так что в данном случае:
В первой строке – попытка войти с логином test и паролем test (первая часть команды LOGIN отправляется почтовым клиентом, потому опущена при формировании полезной нагрузки)
Во второй и последующих – попытки войти с логином contact, перебираются пароли contact, password, admin (пароль для команды из последней строки будет указан в форме, в параметре тела запросаpassword, потому опущен при формировании полезной нагрузки)
В подборе учётной записи для службы IMAP действительно использую пару логин и пароль. Хоть я и не реализовала в рассматриваемом веб-приложении никаких механизмов защиты от перебора учётных данных прямо в форме (CAPTCHA, ограничение числа попыток входа по логину или IP адресу, ...), в данном случае эксплуатация инъекции подразумевала демонстрацию варианта обхода таких механизмов в случае, когда они существуют в рамках веб-приложения и не настроены дополнительно на почтовом сервере.
Пары логин / пароль можно найти на скриншотах, где изображён трафик, а также среди полезной нагрузки. Разбирая один из примеров нагрузки из статьи:
Команда
LOGIN
принимает два аргумента: имя пользователя и пароль. Так что в данном случае:В первой строке – попытка войти с логином
test
и паролемtest
(первая часть командыLOGIN
отправляется почтовым клиентом, потому опущена при формировании полезной нагрузки)Во второй и последующих – попытки войти с логином
contact
, перебираются паролиcontact
,password
,admin
(пароль для команды из последней строки будет указан в форме, в параметре тела запросаpassword
, потому опущен при формировании полезной нагрузки)Добрый день! Благодарю за отзыв :)
В подборе учётной записи для службы IMAP действительно использую пару логин и пароль. Хоть я и не реализовала в рассматриваемом веб-приложении никаких механизмов защиты от перебора учётных данных прямо в форме (CAPTCHA, ограничение числа попыток входа по логину или IP адресу, ...), в данном случае эксплуатация инъекции подразумевала демонстрацию варианта обхода таких механизмов в случае, когда они существуют в рамках веб-приложения и не настроены дополнительно на почтовом сервере.