メールヘッダインジェクション のバックアップ(No.1)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- メールヘッダインジェクション へ行く。
- 1 (2021-11-14 (日) 21:03:24)
メールヘッダインジェクション †
メールヘッダインジェクション とは †
- Webページのフォームに不正な入力データを与えることで、メールヘッダに任意の送信先メールアドレス等を追加する攻撃。
- Webページへの入力データを元にメールヘッダを生成してメール送信している場合に、メールヘッダインジェクションの脆弱性があると悪用される。
対策 †
- メールヘッダを全て固定値にする。(入力データをメールヘッダに出力しない)
- メール送信用のAPIやライブラリを使ってメールを送信する
- Webページへの入力データに改行コードが含まれていた場合は削除する。
関連サイト †
- CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection')
https://cwe.mitre.org/data/definitions/93.html
- 安全なウェブサイトの作り方 - 1.8 メールヘッダ・インジェクション - IPA
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_8.html