skillup

技術ブログ

メール

メールヘッダ・インジェクション

投稿日:2017年2月8日 更新日:

メールヘッダ・インジェクションとは?

お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。

Webセキュリティの小部屋 メールヘッダー・インジェクションと対策

メールヘッダ・インジェクション脆弱性

被害

迷惑メールの中継に利用される

対策

  • メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する
  • メールヘッダを固定値にできない場合、メール送信用APIを利用する
  • HTMLで宛先を指定しない(BCCなどを入れられる可能性がある)
  • 改行コードを削除する

メールヘッダ・インジェクション

-メール
-

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

no image

メールを受信してプログラムを起動させる

今年の初めごろにやったプログラムです。 かなり汎用的なのと、使えそうなのでメモしときます。 題の通り、メールを受信して、それをトリガーにしてなんらかのプログラムを起動させます。 ここではPHPで、ある …

no image

Route53でのドメイン取得&メール送信に関して

以前、Route53でドメイン取得、メールの送受信などをメモしましたが、Route53でのドメイン登録→メール送信に関してもう一度記しておこうと思います。 Amazon SESについて(Route53 …

no image

メール送信に関して その2 メールメッセージのデータ形式

前回に引き続き、メールのメッセージ構造について書きたいと思います。 Contents1 大まかな構造2 ヘッダ部2.1 メールアドレス2.2 From/Sender/Reply-To2.3 To/Cc …

no image

メール送信に関して その1 おおまかな送受信の仕組み

php-fpmを変えてから大分動きがよくなりましたね・・サーバーのレスポンスがはやい・・ 今回から数回に分けてメール送信の仕組みについて学習していこうと思います。 インフラ系の知識がやっぱり怪しいもん …

no image

メールの文字化け対策

メールの文字コードに関して、色々ごまかしながらやってましたが真面目に取り組む必要があり、ここでメモ。 Contents1 前提条件2 ヘッダー部分3 メール本文3.1 Content-Transfer …

アーカイブ