Security

メールヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月24日 更新日:

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構、「メールヘッダ・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない)

注意が必要なウェブサイトの特徴

利用者が入力した内容を管理者宛にメールで送信する機能を実装しているウェブサイトが、「メールの 第三者中継」による影響を受けます。該当する機能には、「問い合わせページ」や「アンケート」等があります。

根本的解決

  • (i)-a メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する。
  • (i)-b メールヘッダを固定値にできない場合、ウェブアプリケーションの実行環境や言語に用意されているメール送信用 API を使用する。
  • (ii) HTMLで宛先を指定しない。

保険的対策

  • (iii) 外部からの入力の全てについて、改行コードを削除する。

CWE

参考URL

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

ネットワークビギナーのための情報セキュリティハンドブック Ver.2.00 の目次

目次はじめにネットワークビギナーのための情報セキュリティハンドブック Ver.2.00目次プロローグ サイバー攻撃ってなに?第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!~ …

no image

SQLインジェクション対策 by IPA「安全なウェブサイトの作り方 第7版」

photo credit: Injection, Inject via photopin (license) 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「SQLインジェクシ …

Web Security

JVN iPediaに載っていた脆弱性を調査する

JVN iPedia という脆弱性対策情報データベースの Webサイトがあるのですが、そこに載っていた JVNDB-2016-005868 という脆弱性情報について調査する過程を紹介します。 調査 ま …

セキュリティ

パスワード情報をクラウドに保存して大丈夫なのか?

パスワード情報をクラウドに保存することの危険性について書きました。

no image

HTTP ヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「HTTP ヘッダ・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブ …