メールヘッダインジェクション
2021-11-15 (月) 12:35:55
メールヘッダインジェクション とは †
- Webページのフォームに不正な入力データを与えることで、メールヘッダに任意の送信先メールアドレス等を追加する攻撃。
- Webページへの入力データを元にメールヘッダを生成してメール送信している場合に、メールヘッダインジェクションの脆弱性があると悪用される。
対策 †
- メールヘッダを全て固定値にする。(入力データをメールヘッダに出力しない)
- メール送信用のAPIやライブラリを使ってメールを送信する
- Webページへの入力データに改行コードが含まれていた場合は削除する。
関連サイト †
- CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection')
https://cwe.mitre.org/data/definitions/93.html
- 安全なウェブサイトの作り方 - 1.8 メールヘッダ・インジェクション - IPA
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_8.html