![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2021-08-21T15:53:48+09:00","default:k1rou","k1rou") *メールヘッダインジェクション [#mcae1b60] **メールヘッダインジェクション とは [#o5a8a11c] #author("2021-11-15T03:35:55+00:00","default:k1rou","k1rou") *メールヘッダインジェクション とは [#o5a8a11c] -Webページのフォームに不正な入力データを与えることで、メールヘッダに任意の送信先メールアドレス等を追加する攻撃。 -Webページへの入力データを元にメールヘッダを生成してメール送信している場合に、メールヘッダインジェクションの脆弱性があると悪用される。 **対策 [#l8f6f542] *対策 [#l8f6f542] -メールヘッダを全て固定値にする。(入力データをメールヘッダに出力しない) -メール送信用のAPIやライブラリを使ってメールを送信する -Webページへの入力データに改行コードが含まれていた場合は削除する。 **関連サイト [#gd8afc8f] *関連サイト [#gd8afc8f] -CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection')~ https://cwe.mitre.org/data/definitions/93.html -安全なウェブサイトの作り方 - 1.8 メールヘッダ・インジェクション - [[IPA]]~ https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_8.html **関連用語 [#jbc8d03b] *関連用語 [#jbc8d03b] -[[インジェクション]] -[[電子メール]]
