[サイバー攻撃大辞典 トップへ]

メールヘッダ インジェクション


スポンサー リンク

説明


Webアプリケーションがメール送信機能を保有する場合に悪用する。攻撃者がこの機能を誤動作させ、本来の機能とは異なるメールを送付する。
主に(アプリケーション側では)想定していない改行コードを挿入し、アプリケーションに意図しない動作をさせる。


攻撃例


Webフォームでユーザの入力したメールアドレスに対して、確認メールを送付するシステムがあるとする。
(1)
悪意のユーザが以下のとおり、改行コードと共にBCCで他のユーザを指定したとする。

Webサーバ側で入力値をそのままメールの送信アドレスに指定した場合、Bccで指定したユーザにもメールが送付されてしまう。

user1@example.com%0d%0aBcc%3a%20user2@example.com


(2)メールアドレスに不正な改行コード挿入することにより、メールのSubjectをねつ造する。(メールヘッダ インジェクション)
test@test.com%0d%0aSubject%3A%20test

(注)
文字コードの 0D 0A は改行
文字コードの 3Aはコロン
文字コードの 20は半角スペース


対策


・メールヘッダは固定値とする。動的に生成しない。
・メールヘッダを動的に生成する必要がある場合は、用意されているメールヘッダ生成APIを使用する。(ただしAPIに脆弱性がないことを確認)
・メールヘッダを入力値に元に生成する場合、改行コード(あるいは場合によっては特殊文字)が含まれる場合はエラー処理する。


スポンサー リンク






[サイバー攻撃大辞典 トップへ]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2917