脆弱性の呼称
2007年4月27日(金曜日)
脆弱性の呼称
「インジェクション系攻撃への防御の鉄則 (itpro.nikkeibp.co.jp)」。最終回ですか。
HTTPヘッダー・インジェクションと非常によく似たぜい弱性パターンとして,「メールの第三者中継(注4)」がある。これは,HTTPレスポンス・ヘッダーではなく,メール・ヘッダーにおいて改行によるメール改変が可能となるものである。
(注4)CrLfインジェクションなどと呼ばれる場合もあるが、「安全なウェブサイトの作り方改定第2版」の表記に従った。
「メールの第三者中継」は結果、「CRLFインジェクション」は手法に注目した呼称で、両者の指すものは必ずしも同じではないと思います。たとえば、送信フォームに以下のような input要素の記述があったりすると……。
<input type="hidden" name="to_mail" value="info@example.com">
見た瞬間にかなり濃厚な第三者中継の気配が漂ってくるわけですが、ここで連想される手法は「CRLF をインジェクションする」というものではないでしょう。脆弱性の呼称はいろいろありますが、原因と手法と結果とを峻別していないのでややこしいのですよね。
※そもそも、「第三者中継」は脆弱性なのかどうかという議論もあるのかもしれません。とある ISP のメールフォームなどは、ポリシーとしてあえて第三者中継を許しているとしか思えませんので……。
- 「脆弱性の呼称」へのコメント (2件)
関連する話題: セキュリティ / 狙われるWebアプリケーション / ITpro
- 前(古い): crossdomain.xml の DTD
- 次(新しい): 苺ましまろ5
