skillup

技術ブログ

サーバー・ネットワーク

メールヘッダ・インジェクション

投稿日:

メールヘッダ・インジェクションとは?

お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。

https://www.websec-room.com/2013/03/21/712

http://into.cocolog-nifty.com/pulog/2014/01/post-ee98.html

被害

迷惑メールの中継に利用される

対策

  • メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する
  • メールヘッダを固定値にできない場合、メール送信用APIを利用する
  • HTMLで宛先を指定しない(BCCなどを入れられる可能性がある)
  • 改行コードを削除する

http://shiori.hatenablog.jp/entry/2013/12/10/162042

-サーバー・ネットワーク
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

Gitのブランチについて

ちょっといろいろと触っているGitに関して。 前回は作業ディレクトリ、インデックス、コミットについて説明したのですが、今回はブランチについて行います。 Contents1 ブランチとは?2 ブランチに …

no image

cakePHPでのサブディレクトリ(apache)

apache使用時、cakePHP2系をサブディレクトリで使いたいときの運用法に関して。通所通りですとファイルにアクセスできないので、URLのリライトをうまくしないといけません。下記に設定例をかきます …

no image

AWSのCLIに関して

実務でAWSを使ってたんですがテスト時にはコマンドを使っている方がはるかに早いためコマンドライン環境を作っておいたほうが良いです。 ちなみに使用する前にはAWSのコンソールからIAMユーザーを作成する …

no image

PHP_CodeSnifferによるコードチェック

昨日の記事でphpmdという静的解析ツールを調査したんですが、それ以外にも規約にのっとっているかどうかコーディングをチェックできるツールはあります。 PHP_CodeSniffer https://g …

no image

大規模Webサービス技術入門 イントロ

一応WEBサービスを日々改修していますが、データが日々ふえ、大規模なサービスの対処法などを勉強する必要があるため、「大規模サービス技術入門」を少しずつ読んでいこうと思います。 ポイント データはディス …