メールヘッダインジェクション の履歴(No.1)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• メールヘッダインジェクション へ行く。
  • 1 (2021-11-14 (日) 21:03:24)

メールヘッダインジェクション†

メールヘッダインジェクション とは†

• Webページのフォームに不正な入力データを与えることで、メールヘッダに任意の送信先メールアドレス等を追加する攻撃。
• Webページへの入力データを元にメールヘッダを生成してメール送信している場合に、メールヘッダインジェクションの脆弱性があると悪用される。

対策†

• メールヘッダを全て固定値にする。(入力データをメールヘッダに出力しない)
• メール送信用のAPIやライブラリを使ってメールを送信する
• Webページへの入力データに改行コードが含まれていた場合は削除する。

関連サイト†

• CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection')
  https://cwe.mitre.org/data/definitions/93.html

• 安全なウェブサイトの作り方 - 1.8 メールヘッダ・インジェクション - IPA
  https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_8.html

関連用語†

• インジェクション
• 電子メール