Upgrade to Pro — share decks privately, control downloads, hide ads and more …

メールに関する小話 PHPMailer 5.2.2-rc2の騒動など / A short story about email.

sapi_kawahara
June 26, 2019
Business
0
1.1k

メールに関する小話 PHPMailer 5.2.2-rc2の騒動など / A short story about email.

sapi_kawahara

June 26, 2019
Tweet

More Decks by sapi_kawahara

See All by sapi_kawahara
LTの禁じ手
sapi_kawahara
1
350
||とorの違いは登壇して解決した
sapi_kawahara
0
230
Macintosh talk / Macintoshの話
sapi_kawahara
0
89
混合接種してみた / Mixed inoculation
sapi_kawahara
0
58
安くて美味い日本酒 / Great wholesale market
sapi_kawahara
0
240
オフラインもし逢えたなら素敵だね / It would be nice to meet you offline.
sapi_kawahara
0
260
カジュアル面談本の裏側を語る / Casual Information Book Inside story
sapi_kawahara
0
230
推し技術の紹介 / Introduction of pushing technology
sapi_kawahara
0
110
エヴァンゲリオンとPHP / PHP with high synchronization rate with Evangelion.
sapi_kawahara
0
350

Other Decks in Business

See All in Business
株式会社エヌティ・ソリューションズ_会社_採用説明資料_230927.pdf
ntsolutions
0
140
スクラムの基礎学習によって開発プロセスの改善が少し進み始めた話/How to improve your development team
k_takashiro
1
240
VISIONARY_JAPAN_-採用ピッチ-
vjrecruit
1
190
株式会社CINC 会社案内/Company introduction
cinchr
5
27k
20230921 JBUG東京#21 ウェブライフ 塩谷
shioyashunsuke
0
130
vMeta_METATEAM
mvrecruit
0
480
株式会社マクロセンド - 会社ピッチ資料
macrosend
0
150
20230927_【Progmat】WG一覧
progmat
0
470
Flip the script: overcoming negativity bias for positive growth
giuliapanozzo
1
170
20210915_【SRC】セカンダリWG_第1期報告書_本紙
progmat
0
440
20200324_【PJ Progmat】資産裏付証券WG_ご報告資料
progmat
0
450
税理士法人チェスター_事務所紹介資料
mabhr
0
520

Featured

See All Featured
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
How to name files
jennybc
56
85k
GraphQLとの向き合い方2022年版
quramy
25
11k
The Invisible Customer
myddelton
113
12k
Support Driven Design
roundedbygravity
91
9.2k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
41
12k
Fireside Chat
paigeccino
18
2.2k
4 Signs Your Business is Dying
shpigford
172
21k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
6
7.1k
Imperfection Machines: The Place of Print at Facebook
scottboms
257
12k
Art, The Web, and Tiny UX
lynnandtonic
285
18k
Done Done
chrislema
178
15k

Transcript

  1. メールに関する小話
    PHPMailer 5.2.2-rc2の騒動など
    @sapi_kawahara さっぴー川原
    2019年6月26日(水)第139回 PHP勉強会@東京 #PHPStudy
    1

    View Slide

  2. 自己紹介
    ● さっぴー川原 @sapi_kawahara
    ● 埼玉県川越市在中、五反田の中小企業で働いてます。
    ● エンジニア暦:30年目、最初はコンシューマーゲーム機
    の開発、のちにLAMPでの開発にジョブチェンジ、言語に
    こだわらない性格、最近はPythonをメインでやってま
    す。
    ● マネージメントばかりやっているけど、最近は趣味で開
    発とかする、Re:View執筆でWerkerしたり楽しい!
    2

    View Slide

  3. X-Mailer: PHPMailer 5.2.2-rc2
    3

    View Slide

  4. PHPMailerとは?
    ● PHP用のメール送信ライブラリです、簡単にメール送信のプログラムが書け
    ます、これをベースにお問い合わせフォームも書けたりします。
    ● 最近、このライブラリーを使ったフィッシングメールが私のメールアドレス
    に飛んできてます。
    ● https://github.com/PHPMailer/PHPMailer 2019/06/26現在、最新バー
    ジョンは6.0.7です。
    ● あれ????
    4

    View Slide

  5. そのバージョンは?!
    ● フィッシングメールがきたのはバージョン 5.2.2ってことは?
    ● はい!脆弱性あります!OSインジェクションあります!
    ● 徳丸先生のブログにて記載あり「PHPMailerの脆弱性CVE-2016-10033につ
    いて解析した」
    https://blog.tokumaru.org/2016/12/PHPMailer-Vulnerability-CVE-201
    6-10033.html
    ● PHPMailerにおける、リモートから任意のコードが実行可能な脆弱性
    (CVE-2016-10033およびCVE-2016-10045)に関する調査レポート
    ● https://www.softbanktech.co.jp/special/cve/2017/0001/
    5

    View Slide

  6. サーバー会社、プロバイダに問い合わせ中
    ● PHPMailerを置いているサーバーの会社にサーバーを止めてと問い合わせた
    ら、フィッシングメールを出している方を止めるのが先と言われた。
    ● フィッシングメールを出している方のプロバイダに問い合わせたら、サー
    バー会社の方が止めた方が良いと言われた・・・。
    ● まあ、どっちにも言ったので、そのうち対応するでしょう!
    ● 置き忘れWordPress脆弱性問題は有名ですが、置き忘れPHPMailerもあると
    は思いませんでした。
    ● セキュリティ対策はちゃんとやりましょう!
    6

    View Slide

  7. おまけ GMail APIを使った小話
    ● GMail APIを使ってメール送信をしようとすると、400エラーが出る。
    ○ Status code: 400 and status: Bad Request and response: { "error": { "errors": [ {
    "domain": "global", "reason": "invalid", "message": "Invalid value for ByteString
    ● 問題の箇所は以下の場所でした。
    ○ $data = base64_encode($data);
    ● 自分が過去にメール送信を自前で作ったときは、これでできたけど、なん
    で?と思いました。
    ● URLのGETでbase64_encodeを渡わたす場合は+/を変換しちゃダメみたい
    です、ググると以下の方法が多数見つかるので、これで解決しました。
    ○ $data = rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
    7

    View Slide

  8. メールの本を頒布します!
    ● 技術書同人誌博覧会にてメールの本を頒布す
    る予定です。
    ● サークル名:エンジニアの登壇を応援する会
    ● 頒布場所:B-15
    ● 頒布物:スパムにされないメール設定方法
    ● 頒布価格:500円(予定)
    https://gishohaku.dev/circles/WrqqMM9j
    4tsnrGxH3PpI/
    ● さきほどGMail APIを実装したPHPソースも
    公開しつつ本に書こうと思ってます。
    8

    View Slide

  9. 大田区産業プラザ 小展示ホール(京急蒲田)
    ★ 技術書オンリーの同人誌即売会
    ★ 70サークル参加 / 10,000冊頒布予定
    ★ 15:00以前の来場は無料チケット予約が必要です
    ★ 詳細は公式Webサイトをチェックしてください
    技術書同人誌博覧会
    2019-07-27 (土) 11:00-17:00
    一般来場参加受付中
    https://gishohaku.dev/
    9

    View Slide