FYI: Email Injection

[Angel_de]

Vielen Dank an St@eff.en.
Damit werd ich nun auch klarkommen und kann dies in die Seite einbauen. Great work ... thx a lot

[steff11]

Hi Steffen,
in der neuen Version wird beginnt der mailheader wie folgt:

Code:

$mailheader="formular@domain.de\r\nX-Mailer: ...

da krieg ich von "www.daemon.apache" dann eine Mail mit folgendem Imhalt:

Code:

formular@domain.de
X-Mailer: PHP/4.3.4
X-Sender-IP: 84.147.62.93
Content-Type: text/html; charset=ISO-8859-1;
... #hier folgt der Inhalt des Textfeldes

hab wieder zurückgestellt auf

Code:

$mailheader="From: $name <$email>\r\nX-Mailer: ...

da klappts; wahrscheinlich hab ich damit den Zauber des Scripts zerbrochen ...

greetz, freu mich, wenn ich auch einen Pfriemel zum Erfolg beitragen kann. Steff

[steffenk]

jo, das war ein Flüchtigkeitsfehler.
Es war auch noch ein zweiter drin, Update ist aber online - bitte nochmal neu holen

[Angel_de]

Wenn ich mit dem Formmailer eine Mail verschicke, bzw. er eine Fehlermeldung ausgeben soll, so ruft er ja
http://www.blablabla.de/formmailer.php
auf.
In welcher Zeile kann ich die Umleitung auf
http://www.blablabla.de/index.php?sec=formmailer
umstellen ???

Wenn ich (wegen include) die Zeile
<form action="<?php echo $pagename;?>" method="post" name="formmailer">
in
<form action="index.php?sec=formmailer" method="post" name="formmailer">
ändere bekomm ich nach dem abschicken der Mail folgenden Fehler :
Warning: Cannot modify header information - headers already sent by (output started at /www/htdocs/xyz/index.php:6) in /www/htdocs/xyz/formmailer.php on line 59

In Zeile 59 steht nun entsprechend folgendes :
header("Location:$pagename?success");

[steff11]

Es war auch noch ein zweiter drin

och, verrat uns, wo: habs schon zerstückelt, erweitert und an mein Umfeld angepasst, da müsst ich jetzt Zeile für Zeile vergleichen...

[Taipei]

Deine Auswertung ist weder sicher noch vorbeugend. Das da keine bots drauf waren hat wohl andere Gründe - ev. filtern die mit einem Zusatzprogramm die Spams raus...

Müsste ich denn erst einen Bot programmieren um (m)ein Formular auf mögliche Injections zu testen? Ich dachte, dass geht auch durch entsprechende Eingaben.

Danke, für das hochgeladene Script. Werde ich mich das Wochenende mal damit beschäftigen...

[steffenk]

@Angel_de Du kannst eine beliebige Seite hinter location schreiben
Natürlich geht das nur, wenn Du vorher keine Ausgabe hattest, sonst musst Du die Weiterleitung mit javascript machen.

$steff11 folgende Fehler waren drin:

1.

PHP-Code:

$message="Name: $name\nEmail: <a href=\"mailto:$email\">$email</a>\n<hr>";
$message.=get_magic_quotes_gpc() ? stripslashes($_POST[message]) : $_POST[message]; 


der Punkt in der 2. Zeile und die schönere erste Zeile

2. $mailheader="From: formular@domain.de\r\nX-Ma ...

[Angel_de]

Hmm ... so langsam versteh ich. Wenn alles ok ist, dann ruft er den mail mit ?success auf. Dadurch will er das ganze formular nochmal ausgeben inkl. der überschrift, dass eben alles sauber über die bühne gegangen ist.
Diese meldung erscheint bei mir ja nun nicht.

blödes problem :-( ... mit javascript kann ich ja noch weniger anfangen, als mit php

Ein weiteres Problem ist, dass wenn ich z.B. keine E-Mailadresse angebe und auf abschicken klicke und das immer wieder wiederhole, dann sieht der text im messagefeld irgendwann (z.B. nach 3 klicks) so aus :
Name: Testuser<br />
Email: <a href="mailto:"></a><br />
<hr>Name: Testuser<br /><br />
Email: <a href="mailto:"></a><br /><br />
<hr>Name: Testuser<br /><br /><br />
Email: <a href="mailto:"></a><br /><br /><br />
<hr>Meine Testnachricht, ohne Angabe der E-Mail


Bin am verzweifeln :-(

[steffenk]

oh mann, das sind so Tage wo man Fehler macht ...

also folgende Korrektur:

aus

PHP-Code:

$message="Name: $name\nEmail: <a href=\"mailto:$email\">$email</a>\n<hr>";
    $message.=get_magic_quotes_gpc() ? stripslashes($_POST['message']) : $_POST['message'];
    $message=nl2br($message); 


wird wieder

PHP-Code:

$message=get_magic_quotes_gpc() ? stripslashes($_POST['message']) : $_POST['message']; 


und die Mail wird so generiert:

PHP-Code:

//Mail komponieren
        $mailheader="From: formular@domain.de\r\nX-Mailer: PHP/" . phpversion(). "\r\nX-Sender-IP: ".$_SERVER['REMOTE_ADDR']."\r\nContent-Type: text/html; charset=ISO-8859-1;";
        $message=nl2br("Name: $name\nEmail: <a href=\"mailto:$email\">$email</a>\n<hr>$message");
        $subject="Webseiten-Nachricht vom ".date("d.m.Y");
        if (@mail($empfaenger, $subject, $message, $mailheader)) {
            //Alles ok, Seite neuladen (Reloadsperre)
            header("Location:$pagename?success");
            //falls kein Header gesendet werden kann, dann mit javascript
            //echo '<script type="text/javascript">document.location.href="'.$pagename?success.'"</script>';
            exit;
        } else {
            $error='<h3>Fehler beim Mailen aufgetreten</h3>';
        } 


wenn header nicht geht, dann header auskommentieren und die Echozeile aktivieren.

sry die Umstände, aber so ist es halt manchmal ...
Selbstverständlich ist auch alles korrigierte online.

[Angel_de]

Vielen Dank ... hab's eingebaut (und auch die eine Änderung bzgl. $message eingebaut)

Wegen dem Header schaut es bei mir nun so aus :

if (@mail($empfaenger, $subject, $message, $mailheader)) {
//Alles ok, Seite neuladen (Reloadsperre)
//header("Location:$pagename?success");
//falls kein Header gesendet werden kann, dann mit javascript
echo '<script type="text/javascript">document.location.href="'.$pagename?success.'"</script>';
exit;
} else {
$error='<h3>Fehler beim Mailen aufgetreten</h3>';
}

Bekomme dann folgenden Fehler :
Parse error: syntax error, unexpected ';' in /www/htdocs/xyz/formmailer.php on line 60

Zeile 60 ist :
echo '<script type="text/javascript">document.location.href="'.$pagename?success.'"</script>';

Wenn ich es ändere in :
echo '<script type='text/javascript'>document.location.href="'.$pagename?success.'"</script>';

so kommt der Fehler :
Parse error: syntax error, unexpected T_STRING, expecting ',' or ';' in /www/htdocs/w006838a/formmailer.php on line 60


//EDIT
Habe die Zeile 60 geändert in :
echo '<script type="text/javascript">document.location.href=index.php?sec=formmailer</script>';

Nun lädt die Seite und Fehlermeldungen, Messagebox usw. funktionieren einwandfrei. Nach dem abschicken lädt er die Seite aber nicht zuende. Die mail kommt aber dennoch an.

Am Ende des Quelltextes der nicht fertiggeladenen Seite steht nun :
<script type="text/javascript">document.location.href=index.php?sec=formmailer</script>

[steffenk]

langsam wirds peinlich - Zeit fürs Bett ...

PHP-Code:

echo '<script type="text/javascript">document.location.href="'.$pagename.'?success"</script>'; 


[Angel_de]

jetzt öffnet er ja leider die bestätigungsseite wieder allein ohne mein rundumlayout
Wie kann ich die success-seite mit dem
http://www.blablabla.de/index.php?sec=formmailer
davor aufrufen ?
geht das mit mehrmaligen übergaben von parametern ?
mein include"script" hängt das .php bei ?sec= halt automatisch an.

[steffenk]

PHP-Code:

echo '<script type="text/javascript">document.location.href="http://www.blablabla.de/index.php?sec=formmailer"</script>'; 


[Angel_de]

Okay ... so funktioniert es nun für mich. Vielen Dank !

Besser ist noch
echo '<script type="text/javascript">document.location.href="index.php?sec=formmailer&success"</script>';

Hab ich eben ma so rausgefunden :-)
Aber VIELEN VIELEN DANK FÜR DEINE HILFE/UNTERSTÜTZUNG !
Super

[vindiesel]

@St@eff.en

Hab dein Script mal gesaugt und kurz reingeschaut.
Wird der BCC/CC-Hack damit jetzt auch verhindert, oder muss ich diese Abfrage noch einbauen?