teratail
回答率
85.37%
teratail 10th-anniversary
teratail 10th-anniversary
質問するログイン新規登録
トップセキュリティーに関する質問【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうか。

編集履歴

回答編集履歴

4

追記

2017/04/12 13:24

投稿

suzukis
suzukis

スコア1449

test CHANGED
@@ -7,6 +7,10 @@
7
7
 
8
8
 
9
9
  ---
10
+
11
+ (以下の内容は「安全なWebアプリケーションの作り方」を読めばわかることですので、是非書籍をお読みください)
12
+
13
+
10
14
 
11
15
  どうも「メールフォームの機能はメールを送ることだけだから、攻撃の重点はメール送信に限られる」と考えられてる方がいるようです。大きな間違いです。
12
16
 
@@ -41,3 +45,7 @@
41
45
 
42
46
 
43
47
  ![イメージ説明](3c291d98e7e4d4977c508848e96ea25a.png)
48
+
49
+ --
50
+
51
+ 下記のコメント欄のte2jiなる自物の投稿のうち、「安全なWebアプリケーションの作り方」についての記述は、当該書籍の内容を目次のみから妄想して書かれたものです。実際の書籍の内容を反映したものではなく、技術的な裏付けは全くありませんので、十分注意してお読みください。

3

追記編集

2017/04/12 13:24

投稿

suzukis
suzukis

スコア1449

test CHANGED
@@ -8,7 +8,7 @@
8
8
 
9
9
  ---
10
10
 
11
- どうも「メールフォームの機能はメールを送ることだけだから、脆弱性があっても被害はメール送信に限られる」と考えられてる方がいるようです。大きな間違いです。
11
+ どうも「メールフォームの機能はメールを送ることだけだから、攻撃の重点はメール送信に限られる」と考えられてる方がいるようです。大きな間違いです。
12
12
 
13
13
 
14
14
 
@@ -31,3 +31,13 @@
31
31
  (かくいう私も空トークンのすり抜けによるCSRFは見落としてたので勉強不足ですね)
32
32
 
33
33
 
34
+
35
+ 参考までに、Webアプリケーションのセキュリティについて、ものすごく大雑把な絵を描いてみました。安全なWebアプリケーションを作るには体系的な知識が必要であること、アプリケーション固有の機能だけを気にするのだけでは無意味だということが伝わるでしょうか。
36
+
37
+
38
+
39
+ また、私の回答のせいで「安全なWebアプリケーションの作り方」という良書に対し誤った宣伝をする場を与えてしまったのは残念ですが、そのような事実は無いこと、**メールフォームも含めた**多くの領域のWebアプリケーションを作る上でベースとなる知識を学ぶために非常に参考になる本だということはお伝えしたいと思います。
40
+
41
+
42
+
43
+ ![イメージ説明](3c291d98e7e4d4977c508848e96ea25a.png)

2

的外れなコメントに対する追記

2017/04/10 14:53

投稿

suzukis
suzukis

スコア1449

test CHANGED
@@ -5,3 +5,29 @@
5
5
  とりあえず、[体系的に学ぶ 安全なWebアプリケーションの作り方](https://www.hash-c.co.jp/wasbook/)を読んでみてください。脆弱性の仕組みをきちんと学んでからもう一度コード全体を見直してみると良いでしょう。
6
6
 
7
7
 
8
+
9
+ ---
10
+
11
+ どうも「メールフォームの機能はメールを送ることだけだから、脆弱性があっても被害はメール送信に限られる」と考えられてる方がいるようです。大きな間違いです。
12
+
13
+
14
+
15
+ メールフォームであっても、入力の漏洩、他のアプリケーションを攻撃するための踏み台、など、メール送信機能を使わない攻撃もあり得ます。とくに、他のアプリケーションと同居して使われる場合、そのアプリケーションが単体では安全であっても、同じホストに脆弱なアプリケーションがあれば危険にさらされます。
16
+
17
+
18
+
19
+ メールフォームだからといってメールのことだけ気にしているとこのように失敗します。
20
+
21
+
22
+
23
+ もちろん、メールのことも気にしなければなりませんが、「大量メール送信」など以前に気にしなければならないことがまずたくさんあります。「大量メール送信」対策をしていても足下に脆弱性があれば無意味になります。
24
+
25
+
26
+
27
+ このあたりの感覚も、きちんと勉強していればだんだん身についてくると思います。おかしなアドバイスにも気づけるようになるでしょう。
28
+
29
+
30
+
31
+ (かくいう私も空トークンのすり抜けによるCSRFは見落としてたので勉強不足ですね)
32
+
33
+

1

蛇足の追記

2017/04/10 01:10

投稿

suzukis
suzukis

スコア1449

test CHANGED
@@ -1 +1,7 @@
1
+ セッション管理の問題がありそうなのはわかりましたが、セキュリティについての知識が不足したままでは、今後修正などした時に再度脆弱性を作り込んでしまいます。なので具体的な指摘はしません。
2
+
3
+
4
+
1
5
  とりあえず、[体系的に学ぶ 安全なWebアプリケーションの作り方](https://www.hash-c.co.jp/wasbook/)を読んでみてください。脆弱性の仕組みをきちんと学んでからもう一度コード全体を見直してみると良いでしょう。
6
+
7
+