安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構、「メールヘッダ・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない)
注意が必要なウェブサイトの特徴
利用者が入力した内容を管理者宛にメールで送信する機能を実装しているウェブサイトが、「メールの 第三者中継」による影響を受けます。該当する機能には、「問い合わせページ」や「アンケート」等があります。
根本的解決
- (i)-a メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する。
- (i)-b メールヘッダを固定値にできない場合、ウェブアプリケーションの実行環境や言語に用意されているメール送信用 API を使用する。
- (ii) HTMLで宛先を指定しない。
保険的対策
- (iii) 外部からの入力の全てについて、改行コードを削除する。
CWE
- CWE-93: Improper Neutralization of CRLF Sequences (‘CRLF Injection’)
参考URL
- IPA: 知っていますか?脆弱性 (ぜいじゃくせい) 「10. メール不正中継」