[ホーム] >
[サイバー攻撃大辞典 トップ] > [メールヘッダ インジェクション]
作成日:2020/09/16
メールヘッダ インジェクション
メールヘッダ インジェクションとはメールヘッダに不正なコードを仕込ませる攻撃手法のこと。
Webアプリケーションがメール送信機能を保有する場合に悪用する。攻撃者がこの機能を誤動作させ、本来の機能とは異なるメールを送付する。
主に(アプリケーション側では)想定していない改行コードを挿入し、アプリケーションに意図しない動作をさせる。
メールヘッダーがテキストで構成されている点を悪用している。
攻撃例
Webフォームでユーザの入力したメールアドレスに対して、確認メールを送付するシステムがあるとする。
(1)
悪意のユーザが以下のとおり、改行コードと共にBCCで他のユーザを指定したとする。
Webサーバ側で入力値をそのままメールの送信アドレスに指定した場合、Bccで指定したユーザにもメールが送付されてしまう。
user1@example.com%0d%0aBcc%3a%20user2@example.com
(2)メールアドレスに不正な改行コード挿入することにより、メールのSubjectをねつ造する。(メールヘッダ インジェクション)
test@test.com%0d%0aSubject%3A%20test
(注)
文字コードの 0D 0A は改行
文字コードの 3Aはコロン
文字コードの 20は半角スペース
対策
・メールヘッダは固定値とする。動的に生成しない。
・メールヘッダを動的に生成する必要がある場合は、用意されているメールヘッダ生成APIを使用する。(ただしAPIに脆弱性がないことを確認)
・メールヘッダを入力値に元に生成する場合、改行コード(あるいは場合によっては特殊文字)が含まれる場合はエラー処理する。
[ホーム] >
[サイバー攻撃大辞典 トップ] > [メールヘッダ インジェクション]
本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。
このページはリンクフリーです。(このページへの直接リンクも可能です。)
Copyright(c) securitychecklist.net 2015 - 2020