僕が「ホワイトリスト」を採用しなかった訳 – ockeghem(徳丸浩)の日記

RFC準拠のメールアドレスには「危険な」ものもある

 RFC5322に適合したメールアドレスの中には、SQLインジェクション攻撃が可能なメールアドレスがあり得ます。たとえば、以下がそれです。

‘or’1’=’1’#@tokumaru.org

このメールアドレスはメールのRFCに準拠しているだけでなく、実際に送受信が可能であることを確認しました。GmailPostfixDovecotBecky!というルートでメールを送ってみましたが、特にエラーなくBecky!で受信できました*4。受信メールをBecky!で表示している様子を以下に示します。

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中