ketyiaの学んだこと議事録

このサイトでは学んだことを記事にまとめていきます

ウェブ・セキュリティ基礎試験(徳丸試験)の勉強 ⑭メール脆弱性

ウェブ・セキュリティ基礎試験(徳丸試験)の勉強 ⑭メール脆弱性


こんばんわ!
世間では徳丸試験といわれている、ウェブ・セキュリティ基礎試験に挑戦しようということで、いつものごとくアウトプットで記事にまとめていきます。

今回は第十四回目のメールの脆弱性についてまとめます。

メールヘッダインジェクション


メールの宛先や賢明などにヘッダフィールドに改行を挿入し、新たなフィールドや内容を改ざんする攻撃です。

これにより下記影響が考えられます。

・本文改ざん

・迷惑メール送信に悪用

・ウイルスメール送信に悪用

対策は下記です。

・外部からのパラメータをメールヘッダに含まれないようにする

・外部からのパラメータには改行を含まれないようにチェックする

・専用のAPIを使用したり、値チェック

hiddenパラメーターによる値保持


hiddenパラメータの送信先アドレス等を変更することにより、送信先のメールアドレスとして使用されることがあります。

なので、メールはhiddenで値を保存するのでなく、サーバで保存するようにすべきです。

ここまでです。
読んでいただきありがとうございます!