- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2021-08-21T15:53:48+09:00","default:k1rou","k1rou")
*メールヘッダインジェクション [#mcae1b60]
**メールヘッダインジェクション とは [#o5a8a11c]
#author("2021-11-15T03:35:55+00:00","default:k1rou","k1rou")
*メールヘッダインジェクション とは [#o5a8a11c]
-Webページのフォームに不正な入力データを与えることで、メールヘッダに任意の送信先メールアドレス等を追加する攻撃。
-Webページへの入力データを元にメールヘッダを生成してメール送信している場合に、メールヘッダインジェクションの脆弱性があると悪用される。
**対策 [#l8f6f542]
*対策 [#l8f6f542]
-メールヘッダを全て固定値にする。(入力データをメールヘッダに出力しない)
-メール送信用のAPIやライブラリを使ってメールを送信する
-Webページへの入力データに改行コードが含まれていた場合は削除する。
**関連サイト [#gd8afc8f]
*関連サイト [#gd8afc8f]
-CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection')~
https://cwe.mitre.org/data/definitions/93.html
-安全なウェブサイトの作り方 - 1.8 メールヘッダ・インジェクション - [[IPA]]~
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_8.html
**関連用語 [#jbc8d03b]
*関連用語 [#jbc8d03b]
-[[インジェクション]]
-[[電子メール]]
バックアップ