BLOG ENTRY
書籍からの情報を元に、迷惑メールの送信先サーバとして利用する攻撃(PHP)の対策方法をメモ。
対策1、2、3を並行して実施
1、第一引数の固定化またはホワイトリスト化
mail()関数の第一引数(to)は任意ではなく、固定する。
2、同一IPアドレスからの利用回数制限
データベースかデータファイルに、IPごとのフォームメールの利用回数を記録し、指定回数を超える場合mail()関数を実行しない。
3、データ整合性チェック
mail()関数の第四引数(header)にリクエスト変数を含める場合は、メールヘッダ項目に応じた厳密なチェックを入れる。
例えば、From:であれば、メールアドレスとしての整合性を確認する。必要に応じてドメイン部の存在確認も行う。
詳しいことはPHPサイバーテロの技法
その他14種類の脆弱性についてはこちらで一覧確認できます。
No related posts.
comments(1)
DATE2008.04.26
[...] 14 => スパムメール踏み台攻撃 , [...]
type:ピンバック [ ]