回答編集履歴

コメントへの返答を追記しました

2021/06/15 07:30

投稿

ockeghem

スコア11710

answer CHANGED Viewed

@@ -9,4 +9,56 @@
 あと、「ウェブアプリケーションの実行環境や言語に用意されているメール送信用API」でないものは何を指すかということも重要です。そのヒントは、安全なウェブサイトの作り方の後半に出てきます。同書P100（PDFのページではなく冊子としての印刷されたページ番号です）に「3.8 メールヘッダ・インジェクションの例」として、失敗例が紹介されています。ここで使われている方法は、sendmailコマンドを呼び出すというものです。つまり、「メール送信用API」とは、このような手作りのメール送信ではなく、言語等で用意されたものを使えという意味だということが分かります。
-ただし、昔はsendmailコマンドを呼び出してメール送信することはわりとありましたが、最近そういうことをする人は少ないと思うので、分かりにくい書き方だなとは思いました。
+ただし、昔はsendmailコマンドを呼び出してメール送信することはわりとありましたが、最近そういうことをする人は少ないと思うので、分かりにくい書き方だなとは思いました。
+---
+詳しいコメントをありがとうございます。
+以下の部分ですが、
+> mail関数のマニュアルに、以下の記述がありました。
+> PHP 5.4.42 および 5.5.27 より前のバージョンでは、additional_headers は、
+メールヘッダインジェクション対策を行っていませんでした。
+したがって、指定したヘッダが安全なものであり、ヘッダ以外のものを含まないようにするのは
+ユーザー側の役目となります。
+> ふーむ。バージョンによっても違うと…
+公式マニュアルを読み込んで意味を理解しないとダメですね。
+ここのマニュアルの記載は不正確です。確かにPHP 5.4.42などで「改善」はされた（正確にはPHP 5.4.42、PHP 5.5.26、PHP 5.6.10以降です）のですが、完全にメールヘッダインジェクションが防げるようになったわけではありません。
+以下のテストスクリプトは「全てのPHPバージョン」でメールヘッダインジェクション攻撃が可能なサンプルです。Ccヘッダを追加しています。
+```PHP
+<?php
+  $to = 'alice@example.jp';
+  $subj = 'test';
+  $body = 'test';
+  $ah = "From: bob@example.net\r\nCc: carol@example.com";
+  mail($to, $subj, $body, $ah);
+```
+以下は「改善版のPHPでは攻撃できない」サンプルスクリプトです。本文の改ざんを試みています。
+```PHP
+<?php
+  $to = 'alice@example.jp';
+  $subj = 'test';
+  $body = 'test';
+  $ah = "From: bob@eample.net\r\n\r\nHello!\n";
+  mail($to, $subj, $body, $ah);
+```
+このように、「改善版」というのは「一部のメールヘッダインジェクション攻撃を防ぐ」というもので、完全に防御できるわけではありません。
+では、どうすれば安全かというと、安全なウェブサイトの作り方にあるように改行文字をチェックするのも一案ですが、PHP 7.2.0以降で導入されたadditional_headers を配列で指定する方法が安全です。以下のような感じですね。
+```PHP
+<?php
+  $to = ...
+  $subj = ...
+  $body = ...
+  $ah = ["From" => $from];
+  mail($to, $subj, $body, $ah);
+```
+これだと、改行を用いたメールヘッダインジェクションはできなくなるので根本的に安全です。