+ Antworten
Seite 4 von 6 ErsteErste 1 2 3 4 5 6 LetzteLetzte
Ergebnis 46 bis 60 von 90

Thema: FYI: Email Injection

  1. #46
    TP-Special Mod steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User Avatar von steffenk
    Registriert seit
    Feb 2005
    Ort
    Haan / NRW
    Beiträge
    12.869
    sobald im Header der Content-Type gesetzt ist, werden keine Änderungen im Body mehr angenommen. Durch nl2br werden diese Versuche zudem unschädlich gemacht.

    Stripslashes benutze ich, da $comments aus der POST stammt und bei meinen Servern magic_quotes eh an ist. htmlentities nehm ich halt damit man auch alles lesen kann, wenn tags benutzt werden. Dadurch sind dann links halt nicht mehr klickbar, das kann man noch verbessern. Das ist auch eine "Schnellumwandlung".
    Wie gesagt, das wichtigste war den Header in Ruhe zu lassen. Die meisten Hacker versuchen den Header mit Content-Type: multipart/mixed; im Body weitere Headeranweisungen zu geben - das funktioniert hier nicht.


    TYPO3 · MySQLDumper · dislabs
    ·
    manche Mühlen mahlen schneller ...
    "Ich habe Rücken"
    Horst Schlämmer


  2. #47
    TP-Senior madace ist auf einem guten Weg Avatar von madace
    Registriert seit
    Jan 2003
    Ort
    Frankfurt/M.
    Beiträge
    183
    Hat hier jmd. jetzt ein Formular-Skript das (mehr oder weniger) sicher läuft und würde es zur Verfügung stellen?
    "Das Gewissen ist die Stimme der Seele. (J.J. Rousseau)"

  3. #48
    TP-Greis Boris lebt für das TP und seine User Boris lebt für das TP und seine User Boris lebt für das TP und seine User Boris lebt für das TP und seine User Boris lebt für das TP und seine User Boris lebt für das TP und seine User Boris lebt für das TP und seine User Avatar von Boris
    Registriert seit
    Mar 2001
    Ort
    Stuttgart & Kornwestheim
    Beiträge
    9.420
    Es wurden hier verschiedene Lösungsansätze gezeigt. Such dir eines aus ...
    My software never has bugs. It just develops random features ...

    » DevShack - die Website des freien Webentwicklers Boris

  4. #49
    TP-Greis steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts Avatar von steff11
    Registriert seit
    Aug 2002
    Ort
    Hochfranken
    Beiträge
    5.877
    Zitat Zitat von St@eff.en
    ich hab wohl eine Methode, die unhackbar ist.
    Wars wirklich so einfach ?

    PHP-Code:
    $mailheaders="From: Homepage <website@xxx.de>\r\nContent-Type: text/html";
        
    $msg="\r\n"
            
    .'Name : '.$name."\r\n"
            
    .'E-Mail : '.$email."\r\n"
            
    .'Webseite : '.$url."\r\n"
             
    ." hat folgende Nachricht abgeschickt :\r\n\r\n"
            
    .stripslashes($comments);    
        
        
    $msg=nl2br(htmlentities($msg));

    if (@
    mail("admin@domain.de""Kontakt von der Website"$msg$mailheaders)) {
    ...

    Kann oder sollte man den entsprechenden Codeblock in der Formmailer-version ersetzen, die du bei Dislabs zum Download anbietest. Der block wär wohl zu ersetzen:
    PHP-Code:
    $mailheader="From: $name <$email>\r\nX-Mailer: PHP/" phpversion(). "\r\nX-Sender-IP: ".$_SERVER['REMOTE_ADDR']."\r\nContent-Type: text/plain; charset=ISO-8859-1;";
            
    $subject="Webseiten-Nachricht von $name";
            if (@
    mail($empfaenger$subject$message$mailheader)) {
                
    //Alles ok, Seite neuladen (Reloadsperre)
                
    header("Location:$pagename?success");
            } 
    Steff

    PS: aber hoppla, sind ganz andere Variablenbezeichner; aber im Prinzip, mein ich.

  5. #50
    TP-Special Mod steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User Avatar von steffenk
    Registriert seit
    Feb 2005
    Ort
    Haan / NRW
    Beiträge
    12.869
    ja, ich werde das auf dislabs genauso anpassen und geb dann Bescheid


    TYPO3 · MySQLDumper · dislabs
    ·
    manche Mühlen mahlen schneller ...
    "Ich habe Rücken"
    Horst Schlämmer


  6. #51
    TP-Greis steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts Avatar von steff11
    Registriert seit
    Aug 2002
    Ort
    Hochfranken
    Beiträge
    5.877
    Sach ma, bei dir arbeitet doch auch ein Repost-Robot Du kannst doch nicht schneller antworten als ich lesen kann

  7. #52
    TP-Special Mod steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User Avatar von steffenk
    Registriert seit
    Feb 2005
    Ort
    Haan / NRW
    Beiträge
    12.869
    hab halt viele Klone an verschiedenen Rechnern sitzen


    TYPO3 · MySQLDumper · dislabs
    ·
    manche Mühlen mahlen schneller ...
    "Ich habe Rücken"
    Horst Schlämmer


  8. #53
    TP-Newbie Taipei macht alles soweit korrekt
    Registriert seit
    Mar 2006
    Beiträge
    2
    Ich nutze derzeit ein E-Mail-Formular von cgidienst.de (emailform) das ich lediglich in der Funktion CheckInput erweitert habe. Die abgeänderte CheckInput lautet bei mir:
    PHP-Code:
    function CheckInput ($input)
    {
        
    $missing 0;

        if (! 
    $input[From]) { $missing ++; }
        if(!
    eregi("^[_\.0-9a-z-]+@([0-9a-z][0-9a-z-]+\.)+[a-z]{2,4}$" ,$input[From])) {
            
    $missing =2;
        }
        if (! 
    $input[Subject]) { $missing ++; }
        if (! 
    $input[Message]) { $missing ++; }

        return 
    $missing;

    Normalerweise war meine Ergänzungszeile, die irgenwo anders gefunden habe, nur dazu gedacht um eine der Syntax entsprechende E-Mail-Adresse (mehr oder weniger) zu erzwingen. Nun habe ich versucht das Script mit den beschrieben Infektionen zu testet. Komischerweise scheint es sich nicht infizieren zu lassen.

    Habe ich beim Testen etwas falsch gemacht, oder hat jemand eine Erklärung dafür?

  9. #54
    TP-Special Mod steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User Avatar von steffenk
    Registriert seit
    Feb 2005
    Ort
    Haan / NRW
    Beiträge
    12.869
    Deine Auswertung ist weder sicher noch vorbeugend. Das da keine bots drauf waren hat wohl andere Gründe - ev. filtern die mit einem Zusatzprogramm die Spams raus...


    TYPO3 · MySQLDumper · dislabs
    ·
    manche Mühlen mahlen schneller ...
    "Ich habe Rücken"
    Horst Schlämmer


  10. #55
    TP-Member Angel_de macht alles soweit korrekt
    Registriert seit
    Mar 2006
    Beiträge
    49
    Hi ...
    bin Neuling, was PHP angeht und habe für bisherigen Seiten vorgefertigte Scripte genutzt zum Mailversand. Was ich mir selbst damit angetan habe könnt ihr euch ja bestimmt denken.

    Aufgrund dessen, dass ich rel. grün hinter den Ohren bin, was PHP angeht bringen mir die Codeschnipsel rel. wenig.
    Bräuchte wie madace also ein sicheres Script welches lediglich 2 oder 3 Eingabefelder mit sich bringt (Name, Mail, Text).

    Damit wäre mir schon sehr geholfen. Ich bin für jede PN mit Code dankbar :-)

    Werd mich dann wohl auch öfter hier rumtreiben, weil bei dem, was ich so gelesen hab sind hier ja viele kompetente Leute am Werk. Vl. kann ja auch ich mich irgendwie einbringen.

    Vielen Dank schonmal im voraus.
    In dem Sinne

  11. #56
    TP-Greis steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts Avatar von steff11
    Registriert seit
    Aug 2002
    Ort
    Hochfranken
    Beiträge
    5.877
    Zitat Zitat von Angel_de
    Ich bin für jede PN mit Code dankbar
    pn - was auf die Nase damit nur du was hast, nix gibbs!

    Geh zu, wir machen uns ein Glas Wein auf und schnacken ein bisschen, bis der liebe Steffen den unhackbaren Codeschnippes aus Post 42 in das Script reingepfriemelt hat, das er dann uns lieben, geduldig wartenden Menschen auf dislabs.de anbietet. Ich weiß, dass der Steffen das kann und auch gern macht, wenn seine 1001 Jobs mal 5min Zeit geben. Außerdem liest sein TP-Check-Clone seit 2 min mit, was ich hier tippe, und flüstert ihm bestimmt schon was von uns beiden.

    Steff

  12. #57
    TP-Special Mod steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User Avatar von steffenk
    Registriert seit
    Feb 2005
    Ort
    Haan / NRW
    Beiträge
    12.869
    Clone1 and Clone2: Auftrag notiert ?
    Clone2: Ja natürlich, ich habs an Clone23 weitergegeben, der sagt dann Clone15 Bescheid, das Clone7 mit der Umsetzung beginnen soll


    TYPO3 · MySQLDumper · dislabs
    ·
    manche Mühlen mahlen schneller ...
    "Ich habe Rücken"
    Horst Schlämmer


  13. #58
    TP-Special Mod steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User Avatar von steffenk
    Registriert seit
    Feb 2005
    Ort
    Haan / NRW
    Beiträge
    12.869
    Gerade sagt mir Clone23, das Clone8 das Update bereits hochgeladen hat - da wusste ich gar nichts von

    also hier: http://dislabs.de/index.php?ac=labor&sub=5&id=16


    TYPO3 · MySQLDumper · dislabs
    ·
    manche Mühlen mahlen schneller ...
    "Ich habe Rücken"
    Horst Schlämmer


  14. #59
    TP-Greis steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts steff11 ist einer der Eckpfeiler des TP - ohne ihn geht nichts Avatar von steff11
    Registriert seit
    Aug 2002
    Ort
    Hochfranken
    Beiträge
    5.877
    merci! Und gib mir mal ´ne Nummer von deiner Gen-Fabrik. Will auch 2/3 so willige und fähige Genossen hier am Schreibtisch.

  15. #60
    TP-Special Mod steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User steffenk lebt für das TP und seine User Avatar von steffenk
    Registriert seit
    Feb 2005
    Ort
    Haan / NRW
    Beiträge
    12.869
    Genfabrik ? Bin schon als 25ling zur Welt gekommen


    TYPO3 · MySQLDumper · dislabs
    ·
    manche Mühlen mahlen schneller ...
    "Ich habe Rücken"
    Horst Schlämmer


+ Antworten
Seite 4 von 6 ErsteErste 1 2 3 4 5 6 LetzteLetzte

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

     

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51