Security

メールヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月24日 更新日:

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構、「メールヘッダ・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない)

注意が必要なウェブサイトの特徴

利用者が入力した内容を管理者宛にメールで送信する機能を実装しているウェブサイトが、「メールの 第三者中継」による影響を受けます。該当する機能には、「問い合わせページ」や「アンケート」等があります。

根本的解決

  • (i)-a メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する。
  • (i)-b メールヘッダを固定値にできない場合、ウェブアプリケーションの実行環境や言語に用意されているメール送信用 API を使用する。
  • (ii) HTMLで宛先を指定しない。

保険的対策

  • (iii) 外部からの入力の全てについて、改行コードを削除する。

CWE

参考URL

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

SQLインジェクション対策 by IPA「安全なウェブサイトの作り方 第7版」

photo credit: Injection, Inject via photopin (license) 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「SQLインジェクシ …

Web Security

CSP (Contents Security Policy) の記述例その2

CSP (Contents Security Policy) の記述例その2です。

Web

ウェブブラウザのパスワード保存機能はサイトを限定して使う

目次1. はじめに2. ブラウザのパスワード保存機能利用方針(お勧め)3. ブラウザの設定と操作普段の設定一時的にパスワードを保存させる場合の操作4. おわりに 1. はじめに 最近のウェブブラウザに …

Web Security

XSS Auditor が有効になっているかチェックするためのページを作りました

目次1. XSS とは?2. XSS を防ぐためのブラウザの機能「XSS Auditor」3. Webブラウザの XSS Auditor 機能が有効かどうか調べる4. 参考 1. XSS とは? XS …

Web Security

JavaScript とHTML5のセキュリティ対策

JavaScript や HTML5 を安全に使うため、気を付けるべきポイントについて書いています。 目次1. 基礎知識発生しやすい脆弱性信頼できない値はどこからくるのか?(ソース)信頼できない値が出 …