skillup

技術ブログ

サーバー・ネットワーク

メールヘッダ・インジェクション

投稿日:

メールヘッダ・インジェクションとは?

お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。

https://www.websec-room.com/2013/03/21/712

http://into.cocolog-nifty.com/pulog/2014/01/post-ee98.html

被害

迷惑メールの中継に利用される

対策

  • メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する
  • メールヘッダを固定値にできない場合、メール送信用APIを利用する
  • HTMLで宛先を指定しない(BCCなどを入れられる可能性がある)
  • 改行コードを削除する

http://shiori.hatenablog.jp/entry/2013/12/10/162042

-サーバー・ネットワーク
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

SSH鍵認証について+CakePHP2でのセッション切れ

鍵認証の設定をしたのでその際のメモなどを。 Contents1 SSH鍵認証2 CakePHP2セッション切れ SSH鍵認証 サーバーで公開鍵・秘密鍵を作成 サーバーで公開鍵を登録 クライアント側で秘 …

no image

システム監視の基礎

システム監視のルールがほとんどないので、ちょっと勉強中です。 Contents1 危険率の判定2 参考文献 危険率の判定 今まで一番知りたかったことがこれなんですね。例えばシステムに負荷がかかっている …

no image

webサーバーがどのように動いているか(GETとPOST)

webがリクエストを受け取って画面に表示するまでの流れをおさらい。基本です。 Contents1 全体の流れ2 参考文献 全体の流れ 1 ユーザーがブラウザのURL欄にhttp://www.examp …

no image

サーバーの過負荷の発見 メモリ使用率の調査&抽出、置換(awk,sed)コマンドについて

前回、サーバーの負荷調査について記事を書いたので、それに関するスクリプトを。 Contents1 仕様2 ソース3 解説3.1 freeコマンド3.2 awk3.3 sed 仕様 日付とメモリ使用率、 …

no image

zabbixエージェント設定

本日はzabbixのエージェント設定について。 zabbixでは監視される側と監視する側があり、する側は通常Zabbix Serverになり、される側はzabbix Agentになります。 要はサーバ …