こんばんわ!
世間では徳丸試験といわれている、ウェブ・セキュリティ基礎試験に挑戦しようということで、いつものごとくアウトプットで記事にまとめていきます。
今回は第十四回目のメールの脆弱性についてまとめます。
メールヘッダインジェクション
メールの宛先や賢明などにヘッダフィールドに改行を挿入し、新たなフィールドや内容を改ざんする攻撃です。
これにより下記影響が考えられます。
・本文改ざん
・迷惑メール送信に悪用
・ウイルスメール送信に悪用
対策は下記です。
・外部からのパラメータをメールヘッダに含まれないようにする
・外部からのパラメータには改行を含まれないようにチェックする
・専用のAPIを使用したり、値チェック
hiddenパラメーターによる値保持
hiddenパラメータの送信先アドレス等を変更することにより、送信先のメールアドレスとして使用されることがあります。
なので、メールはhiddenで値を保存するのでなく、サーバで保存するようにすべきです。
ここまでです。
読んでいただきありがとうございます!