メール ヘッダインジェクション

メールヘッダ・インジェクションは、悪意を持った第三者がWebアプリケーションのメール送信機能を誤作動させ、内容の改ざん及び迷惑メール等として悪用する攻撃手法です。

引用元：https://www.ipa.go.jp/files/000017316.pdf

被害

迷惑メールの送信として悪用

注意が必要なWebサイトの特徴

利用者が入力した内容を管理者側で反映される機能を持つWebサイト上の問い合わせページやアンケート等

対策

・メールヘッダを固定値にし、外部からの入力を全てメール本文に出力
・HTMLで宛先を指定しない
・APIの使用

関連リンク

踏み台攻撃被害事例

スパムメール被害事例

メールに関する被害事例

Web脆弱性診断サービス

CSRF

XSS

SQLインジェクション

OSコマンドインジェクション

ディレクトリ・リスティング

ディレクトリ・トラバーサル

HTTPヘッダ・インジェクション