skillup

技術ブログ

サーバー・ネットワーク

メールヘッダ・インジェクション

投稿日:2017年2月8日 更新日:

メールヘッダ・インジェクションとは?

お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。

Webセキュリティの小部屋 メールヘッダー・インジェクションと対策

メールヘッダ・インジェクション脆弱性

被害

迷惑メールの中継に利用される

対策

  • メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する
  • メールヘッダを固定値にできない場合、メール送信用APIを利用する
  • HTMLで宛先を指定しない(BCCなどを入れられる可能性がある)
  • 改行コードを削除する

メールヘッダ・インジェクション

-サーバー・ネットワーク
-

執筆者:

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

docker メモ

まだ数時間しか触ってませんが、なんとなくのイメージなど Vagrantと違いOSではなく主にミドルウェア(httpd,mysqlなど)を手軽に構築する仮想環境ツール Linuxの中でしか動かない 起動 …

no image

セッションとクッキーについて

セッションとクッキーについての違いを整理しておこうと思います。 Contents1 そもそものHTTPプロトコルについて2 ステートフルな状態を実現するために2.1 方法1 クライアント側で情報を保持 …

no image

AWSのCLIに関して

実務でAWSを使ってたんですがテスト時にはコマンドを使っている方がはるかに早いためコマンドライン環境を作っておいたほうが良いです。 ちなみに使用する前にはAWSのコンソールからIAMユーザーを作成する …

no image

VPSのCentOS上にVirtualBox+Vagrantをインストール

普段使っているPCにVirtualBox+Vagrantをいれることはあったんですが、VPS上のCentOSに仮想環境を入れたいとの要件があり、試してみました。 結論からすると結局できなかったんですが …

no image

環境構築の手法について

2019年9月現在、PHPは7系(最新は7.3)を使うことが一般的ですが、たまにレガシー案件などでPHP5系を使ったりすることはあります。 まあ7系でも7.0じゃ動かないとか色々な制約あるんですけど・ …

PREV
HTTPヘッダ・インジェクション+オープンリダイレクタ
NEXT
クリックジャッキング

最近の投稿

カテゴリー

アーカイブ

タグ

ansible apache aws bootstrap cakePHP CI docker Eclipse GlassFish HTML+CSS Java8 JavaEE Jenkins JPA JSF Laravel List MySQL nginx npm Paas Postgre SSL Strem url-rewrite vue まとめ インフラ全般 コーディングルール サーブレット&JSP シェルスクリプト テスト ビルドツール ライブラリ ログ 仕様書作成 例外やエラーハンドリング 入出力 文字コード 文字列操作 日付 有用 正規表現 認証 配列

メタ情報

no image

2021/02/27

composer.jsonのautoloadに関して

no image

2021/02/14

Oauthについて

no image

2021/02/14

Dockerでのredis活用(redisinsightなどについて)

no image

2021/02/14

Dockerでのメール送信に関して

no image

2021/01/17

JWT(ジョット)の認証に関して