質問者 marry
投稿日 2005/11/25(金) 06:46:38
はじめまして。貴サイトのWebFORM.cgi(V.4.0)をありがたく使わせて
いただいております。
その動作と機能にはとても満足しております(^^)
ところで、最近プロバイダから、フォームメールの
セキュリティ・ホールについて次のような注意を呼びかけられました:
「
フォームメールCGIの脆弱性をついた大量メールについて
--------------------------------------------------------------------------
一部で配布されているフォームメールのセキュリティホール、脆弱性を突いた
大量メール送信行為が多数確認されております。
原因は、問い合わせ者から送信されてくるデータのチェックが甘いことにあります。
(a)送信されてくるデータの改行コード「\n」を削除、もしくは、エスケープせず、
そのままsendmailに渡している
(b)入力データの文字列の長さのチェックをしていない
(c)問い合わせ者のメールアドレスの入力データの文字列に[,]が含まれることを
許可し、かつ、自動返信している
」
…とのことです。
入力データの改行と文字列の長さをチェックしていない場合、悪意を持った者が
入力した余計なヘッダをsendmailに渡す結果になり、Bcc:で指定された
メールアドレス数百個に対してメールを送るような形になってしまうようです。
すると、メールアドレス部分だけを変更し、連続してCGIにアクセスし、
短時間に数万〜20万通程度のメールを送れるようです。
webform.cgiを読んでみましたが、カーボン・コピー処理が廃止されたこと
ぐらいしか、わかりませんでした(^^;
spamの踏み台にされて迷惑をかけたくないので、WebFORM4.0で
上記(a)(b)(c)が対策済みかどうか、ご教示いただけると幸いです。
よろしくお願いします。
【プロバイダ】www.xrea.com
【習熟度】多少の設置経験
|