BLOG ENTRY

スパムメール踏み台攻撃の対策(PHP)

php

書籍からの情報を元に、迷惑メールの送信先サーバとして利用する攻撃(PHP)の対策方法をメモ。

対策1、2、3を並行して実施

1、第一引数の固定化またはホワイトリスト化

mail()関数の第一引数(to)は任意ではなく、固定する。

2、同一IPアドレスからの利用回数制限

データベースかデータファイルに、IPごとのフォームメールの利用回数を記録し、指定回数を超える場合mail()関数を実行しない。

3、データ整合性チェック

mail()関数の第四引数(header)にリクエスト変数を含める場合は、メールヘッダ項目に応じた厳密なチェックを入れる。
例えば、From:であれば、メールアドレスとしての整合性を確認する。必要に応じてドメイン部の存在確認も行う。

詳しいことはPHPサイバーテロの技法に書かれてます。この本はすごくためになりました。著者の方に感謝!

その他14種類の脆弱性についてはこちらで一覧確認できます。

  • name:PHPで脆弱性の少ないセキュアなアプリを作るために実装時に意識すること | Web&MUSICブログ QUALL
  • date:2008/10/13
  • […] 14 => スパムメール踏み台攻撃 , […]

  • type:ピンバック [ ]

    WRITE COMMENT


    (required)


    (required)


    (required)

    MENU

    veltica creative of twitter