Contents
メールヘッダ・インジェクションとは?
お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。
Webセキュリティの小部屋 メールヘッダー・インジェクションと対策
被害
迷惑メールの中継に利用される
対策
- メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する
- メールヘッダを固定値にできない場合、メール送信用APIを利用する
- HTMLで宛先を指定しない(BCCなどを入れられる可能性がある)
- 改行コードを削除する
技術ブログ
投稿日:2017年2月8日 更新日:
Contents
お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。
Webセキュリティの小部屋 メールヘッダー・インジェクションと対策
迷惑メールの中継に利用される
執筆者:matsumoto
関連記事
メールに関して以前にもこんなこと書きましたが、今更ながらトラブルが起きたのでしっかり理解しておかないと・・・ 基礎が弱いと困るのう・・・ ロリポップなどのサーバーでmb_send_mailを打てばよく …
PHPのMailライブラリに関して。 今までmb_send_mailとかで誤魔化してましたが、以下のようにライブラリで送るケースのサンプル。 https://github.com/umanari145 …
前回に引き続き、メールのメッセージ構造について書きたいと思います。 Contents1 大まかな構造2 ヘッダ部2.1 メールアドレス2.2 From/Sender/Reply-To2.3 To/Cc …
メールの送信と比べると、プログラムで描く頻度は少ないですが、メールの受信について。 Contents1 POP3サーバー2 プログラムにてPOP3サーバーと通信3 PHPにてメールを取得する場合 PO …
Amazon SESについて(Route53登録→SESで受信→S3で保存)
本日はAWSのSESのメモ。 2019年はJavaScriptとAWSを勉強する、と心に決め、JavaScriptの方は色々勉強しましたが、AWSの方が手付かずでした。 インフラ系はここ2年ぐらい進歩 …