2007年4月27日(金曜日)
苺ましまろ5
苺ましまろ5巻 (www.amazon.co.jp)
前巻から 2年ぶり。しかも手に取った瞬間「薄っ!」と思ってしまったわけですが、中身は面白かったです。特に episode49 の美羽はあまりにもシュール。
- 「苺ましまろ5」にコメントを書く
脆弱性の呼称
「インジェクション系攻撃への防御の鉄則 (itpro.nikkeibp.co.jp)」。最終回ですか。
HTTPヘッダー・インジェクションと非常によく似たぜい弱性パターンとして,「メールの第三者中継(注4)」がある。これは,HTTPレスポンス・ヘッダーではなく,メール・ヘッダーにおいて改行によるメール改変が可能となるものである。
(注4)CrLfインジェクションなどと呼ばれる場合もあるが、「安全なウェブサイトの作り方改定第2版」の表記に従った。
「メールの第三者中継」は結果、「CRLFインジェクション」は手法に注目した呼称で、両者の指すものは必ずしも同じではないと思います。たとえば、送信フォームに以下のような input要素の記述があったりすると……。
<input type="hidden" name="to_mail" value="info@example.com">
見た瞬間にかなり濃厚な第三者中継の気配が漂ってくるわけですが、ここで連想される手法は「CRLF をインジェクションする」というものではないでしょう。脆弱性の呼称はいろいろありますが、原因と手法と結果とを峻別していないのでややこしいのですよね。
※そもそも、「第三者中継」は脆弱性なのかどうかという議論もあるのかもしれません。とある ISP のメールフォームなどは、ポリシーとしてあえて第三者中継を許しているとしか思えませんので……。
関連する話題: セキュリティ / 狙われるWebアプリケーション / ITpro
- 前(古い): 2007年4月26日(Thursday)のえび日記
- 次(新しい): 2007年4月28日(Saturday)のえび日記
