ラボラジアン

Web技術の情報サイト（+ ICTリテラシー関連）

メールヘッダ・インジェクション by IPA「安全なウェブサイトの作り方第7版」

投稿日：2015年4月24日更新日：2017年2月13日

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構、「メールヘッダ・インジェクション」から一部抜粋する。（この資料はPDFでしか提供されていない）

目次

注意が必要なウェブサイトの特徴
根本的解決
保険的対策
CWE
参考URL

注意が必要なウェブサイトの特徴

利用者が入力した内容を管理者宛にメールで送信する機能を実装しているウェブサイトが、「メールの第三者中継」による影響を受けます。該当する機能には、「問い合わせページ」や「アンケート」等があります。

根本的解決

(i)-a メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する。
(i)-b メールヘッダを固定値にできない場合、ウェブアプリケーションの実行環境や言語に用意されているメール送信用 API を使用する。
(ii) HTMLで宛先を指定しない。

保険的対策

(iii) 外部からの入力の全てについて、改行コードを削除する。

CWE

CWE-93: Improper Neutralization of CRLF Sequences (‘CRLF Injection’)
- http://cwe.mitre.org/data/definitions/93.html

参考URL

IPA: 知っていますか?脆弱性 (ぜいじゃくせい) 「10. メール不正中継」
- https://www.ipa.go.jp/security/vuln/vuln_contents/mail.html
- https://www.ipa.go.jp/security/vuln/vuln_contents/mail_flash.html

📂-Security
-Webプログラミング

執筆者：labo

comment コメントをキャンセル

関連記事

: Webサイト/スマートフォンに関するセキュリティインシデント情報

目次Webサイトに関するセキュリティインシデント情報のリンクスマートフォンに関するセキュリティインシデント情報のリンクその他 Webサイトに関するセキュリティインシデント情報のリンク 2016-11- …

: PHPの各PDOドライバは、静的プレースホルダ/動的プレースホルダのどちらを使用しているのか？

目次今のところの結論MySQL (PDO_MYSQL)の場合その他のデータベース用ドライバ参考今のところの結論データベースにも依るだろうが、そもそもプリペアドステートメントが使えないSQL文法があ …

: パス名パラメータの未チェック/ディレクトリ・トラバーサル by IPA「安全なウェブサイトの作り方第7版」

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構の、「パス名パラメータの未チェック/ディレクトリ・トラバーサル」から一部抜粋する。（この資料はPDFでしか提供されていない） …

: セキュリティに関連するリンク集

情報は随時追加します。目次毎日チェックするとよいウェブページ一般Webアプリケーション関連WordPress関連インシデント毎日チェックするとよいウェブページ IPA 独立行政法人情報処理推進機 …

: HTML Purifier の使い方

目次HTML Purifier についてComposerで使う方法1. composer.json の require に、以下を追記する2. composer update する3. 実際に使うHT …

PREV: クリックジャッキング by IPA「安全なウェブサイトの作り方第7版」
NEXT: PHPの各PDOドライバは、静的プレースホルダ/動的プレースホルダのどちらを使用しているのか？