メールインジェクションは、電子メールメッセージを送信するために使用されるインターネットアプリケーションで発生する可能性のあるセキュリティ脆弱性です。これは、電子メールにおけるHTTPヘッダーインジェクションに相当します。SQLインジェクション攻撃と同様に、この脆弱性は、あるプログラミング言語が別のプログラミング言語に埋め込まれている場合に発生する一般的な脆弱性の1つです。
ウェブページにフォームが追加され、そこからウェブアプリケーションにデータが送信されると、悪意のあるユーザーがMIME形式を悪用して、送信メッセージに新たな受信者リストや全く異なるメッセージ本文といった追加情報を追加する可能性があります。MIME形式では、メッセージ内の情報の区切りとして改行文字が使用され、最終的な送信先は生のメッセージによってのみ決定されるため、送信されたフォームデータに改行文字を追加すると、シンプルなゲストブックから数千件ものメッセージを一度に送信できるようになる可能性があります。悪意のあるスパマーは、この戦術を利用して大量のメッセージを匿名で送信する可能性があります。[1]
この脆弱性は、任意のユーザーからの入力に基づいて電子メールメッセージを送信するすべてのアプリケーションに影響を及ぼす可能性があります。
参考文献
- ^ Dafydd Stuttard、Marcus Pinto (2011年3月16日). 『Webアプリケーションハッカーズ・ハンドブック:セキュリティ上の欠陥の発見と悪用』John Wiley & Sons. pp. 321– 324. ISBN 978-1-118-07961-4. 2013年7月11日閲覧。
外部リンク
- mail() 関数を使用したメールヘッダーの挿入(英語)
- mail() 関数を使用したメールヘッダーの挿入(フランス語)
 | このコンピュータネットワークに関する記事はスタブです。記事を拡張することでWikipediaに貢献できます。 |
