skillup

技術ブログ

サーバー・ネットワーク

メールヘッダ・インジェクション

投稿日:

メールヘッダ・インジェクションとは?

お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。

https://www.websec-room.com/2013/03/21/712

http://into.cocolog-nifty.com/pulog/2014/01/post-ee98.html

被害

迷惑メールの中継に利用される

対策

  • メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する
  • メールヘッダを固定値にできない場合、メール送信用APIを利用する
  • HTMLで宛先を指定しない(BCCなどを入れられる可能性がある)
  • 改行コードを削除する

http://shiori.hatenablog.jp/entry/2013/12/10/162042

-サーバー・ネットワーク
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

インメモリデータベース redis

インメモリデータベースのredis(レディース)について。 キャッシュとして以前はmemcachedを使っていましたが、いろいろ多機能ということでredisをちょっと触ってみようかと。 Content …

no image

chefのインストール

以前からずっと課題になっていたchefのインストールについてです。 まだ全然わかっていませんが、なんとかvagrantからのインストールをすることができましたのでメモします。 chefでの環境構築とい …

no image

docker メモ

まだ数時間しか触ってませんが、なんとなくのイメージなど Vagrantと違いOSではなく主にミドルウェア(httpd,mysqlなど)を手軽に構築する仮想環境ツール Linuxの中でしか動かない 起動 …

no image

vagrant 複数ホストを起動

ansbileを使おうと思ったんですが、ansibleはホスト1→ホスト2という構成になっているため、2台のホストがないと使えません。 MACであればローカル環境からいけますし、Windowsでもcy …

no image

nginxのデバッグ

今までいろいろと苦しめられてきた(汗)nginxのデバッグについて。 まず任意の文字や変数をログに出すことができます。 Contents1 変数の出力1.1 rewriteデバッグ2 小ネタ 変数の出 …