FYI: Email Injection

[steffenk]

sobald im Header der Content-Type gesetzt ist, werden keine Änderungen im Body mehr angenommen. Durch nl2br werden diese Versuche zudem unschädlich gemacht.

Stripslashes benutze ich, da $comments aus der POST stammt und bei meinen Servern magic_quotes eh an ist. htmlentities nehm ich halt damit man auch alles lesen kann, wenn tags benutzt werden. Dadurch sind dann links halt nicht mehr klickbar, das kann man noch verbessern. Das ist auch eine "Schnellumwandlung".
Wie gesagt, das wichtigste war den Header in Ruhe zu lassen. Die meisten Hacker versuchen den Header mit Content-Type: multipart/mixed; im Body weitere Headeranweisungen zu geben - das funktioniert hier nicht.

[madace]

Hat hier jmd. jetzt ein Formular-Skript das (mehr oder weniger) sicher läuft und würde es zur Verfügung stellen?

[Boris]

Es wurden hier verschiedene Lösungsansätze gezeigt. Such dir eines aus ...

[steff11]

ich hab wohl eine Methode, die unhackbar ist.
Wars wirklich so einfach ?

PHP-Code:

$mailheaders="From: Homepage <website@xxx.de>\r\nContent-Type: text/html";
    $msg="\r\n"
        .'Name : '.$name."\r\n"
        .'E-Mail : '.$email."\r\n"
        .'Webseite : '.$url."\r\n"
         ." hat folgende Nachricht abgeschickt :\r\n\r\n"
        .stripslashes($comments);    
    
    $msg=nl2br(htmlentities($msg));

if (@mail("admin@domain.de", "Kontakt von der Website", $msg, $mailheaders)) {
...
} 


Kann oder sollte man den entsprechenden Codeblock in der Formmailer-version ersetzen, die du bei Dislabs zum Download anbietest. Der block wär wohl zu ersetzen:

PHP-Code:

$mailheader="From: $name <$email>\r\nX-Mailer: PHP/" . phpversion(). "\r\nX-Sender-IP: ".$_SERVER['REMOTE_ADDR']."\r\nContent-Type: text/plain; charset=ISO-8859-1;";
        $subject="Webseiten-Nachricht von $name";
        if (@mail($empfaenger, $subject, $message, $mailheader)) {
            //Alles ok, Seite neuladen (Reloadsperre)
            header("Location:$pagename?success");
        } 


Steff

PS: aber hoppla, sind ganz andere Variablenbezeichner; aber im Prinzip, mein ich.

[steffenk]

ja, ich werde das auf dislabs genauso anpassen und geb dann Bescheid

[steff11]

Sach ma, bei dir arbeitet doch auch ein Repost-Robot Du kannst doch nicht schneller antworten als ich lesen kann

[steffenk]

hab halt viele Klone an verschiedenen Rechnern sitzen

[Taipei]

Ich nutze derzeit ein E-Mail-Formular von cgidienst.de (emailform) das ich lediglich in der Funktion CheckInput erweitert habe. Die abgeänderte CheckInput lautet bei mir:

PHP-Code:

function CheckInput ($input)
{
    $missing = 0;

    if (! $input[From]) { $missing ++; }
    if(!eregi("^[_\.0-9a-z-]+@([0-9a-z][0-9a-z-]+\.)+[a-z]{2,4}$" ,$input[From])) {
        $missing =2;
    }
    if (! $input[Subject]) { $missing ++; }
    if (! $input[Message]) { $missing ++; }

    return $missing;
} 


Normalerweise war meine Ergänzungszeile, die irgenwo anders gefunden habe, nur dazu gedacht um eine der Syntax entsprechende E-Mail-Adresse (mehr oder weniger) zu erzwingen. Nun habe ich versucht das Script mit den beschrieben Infektionen zu testet. Komischerweise scheint es sich nicht infizieren zu lassen.

Habe ich beim Testen etwas falsch gemacht, oder hat jemand eine Erklärung dafür?

[steffenk]

Deine Auswertung ist weder sicher noch vorbeugend. Das da keine bots drauf waren hat wohl andere Gründe - ev. filtern die mit einem Zusatzprogramm die Spams raus...

[Angel_de]

Hi ...
bin Neuling, was PHP angeht und habe für bisherigen Seiten vorgefertigte Scripte genutzt zum Mailversand. Was ich mir selbst damit angetan habe könnt ihr euch ja bestimmt denken.

Aufgrund dessen, dass ich rel. grün hinter den Ohren bin, was PHP angeht bringen mir die Codeschnipsel rel. wenig.
Bräuchte wie madace also ein sicheres Script welches lediglich 2 oder 3 Eingabefelder mit sich bringt (Name, Mail, Text).

Damit wäre mir schon sehr geholfen. Ich bin für jede PN mit Code dankbar :-)

Werd mich dann wohl auch öfter hier rumtreiben, weil bei dem, was ich so gelesen hab sind hier ja viele kompetente Leute am Werk. Vl. kann ja auch ich mich irgendwie einbringen.

Vielen Dank schonmal im voraus.
In dem Sinne

[steff11]

Ich bin für jede PN mit Code dankbar

pn - was auf die Nase damit nur du was hast, nix gibbs!

Geh zu, wir machen uns ein Glas Wein auf und schnacken ein bisschen, bis der liebe Steffen den unhackbaren Codeschnippes aus Post 42 in das Script reingepfriemelt hat, das er dann uns lieben, geduldig wartenden Menschen auf dislabs.de anbietet. Ich weiß, dass der Steffen das kann und auch gern macht, wenn seine 1001 Jobs mal 5min Zeit geben. Außerdem liest sein TP-Check-Clone seit 2 min mit, was ich hier tippe, und flüstert ihm bestimmt schon was von uns beiden.

Steff

[steffenk]

Clone1 and Clone2: Auftrag notiert ?
Clone2: Ja natürlich, ich habs an Clone23 weitergegeben, der sagt dann Clone15 Bescheid, das Clone7 mit der Umsetzung beginnen soll

[steffenk]

Gerade sagt mir Clone23, das Clone8 das Update bereits hochgeladen hat - da wusste ich gar nichts von

also hier: http://dislabs.de/index.php?ac=labor&sub=5&id=16

[steff11]

merci! Und gib mir mal ´ne Nummer von deiner Gen-Fabrik. Will auch 2/3 so willige und fähige Genossen hier am Schreibtisch.

[steffenk]

Genfabrik ? Bin schon als 25ling zur Welt gekommen