FYI: Email Injection

**steffenk** · 06.03.2006 17:24

wird verhindert.

**vindiesel** · 06.03.2006 21:26

@St@eff.en
Bei mir funzt das irgendwie nicht so, oder ich bin heut einfach zu blöd dafür.
Wenn ich die abfrage von deinen script so abänder, dann sollte er doch "kein spam" ausgeben, oder hab ich da nen Denkfehler?

PHP-Code:


if(strpos($email,"\r\n")>0 || strpos($email,"\n")>0) {

        die("kein spam");

    }

**steffenk** · 06.03.2006 23:48

das betrifft dann nur email, Du müsstest ebenso mit name verfahren.

**vindiesel** · 07.03.2006 00:18

Naja, hab das sowohl für name als auch für email eingegeben.
Hab beim namensfeld irgendeinname\n und bei email test@test.com\n eingegeben und die email wird abgeschickt.

Hab an deinem script nix geändert, außer eben diese zeilen:

PHP-Code:


if(strpos($name,"\r\n")>0 || strpos($name,"\n")>0) {
        die("no spam");
    }
    if(strpos($email,"\r\n")>0 || strpos($email,"\n")>0) {
        die("kein spam");
    }

Auch wenn ich deine php-datei unberührt lasse, wird die email abgeschickt.
Es wird auch nix in die attack.txt eingetragen!

**steff11** · 07.03.2006 06:54

moin,moin
nun, diese Art Spam, dass sich jemand hinsetzt, einen Fantasienamen einträgt und eine vernünftig aufgebaute Fantasie-Mailadresse und dann damit eine Nachricht losschickt, die kannst doch in einem solchen Script nicht verhindern. Wie soll das Script zwischen "vindiesel", "irgendeinname" und "Holger Maier" entscheiden, ob der Name "glaubwürdig und echt" ist oder nicht? Es geht doch darum, dass böswillige Scripte nicht dein Formular nutzen, um Spam an 10000 andere EMPFÄNGER zu verschicken, die du gar nicht im Script als Empfänger vorgesehen hast.

Steff

**vindiesel** · 07.03.2006 09:39

moin,

nun es geht doch darum, dass u.a. "\n" verhindert werden soll und genau das passiert eben nicht!
Die abfrage greift doch hier einfach nicht, zumindest bei mir nicht.

**Stuck Mojo** · 07.03.2006 10:42

PHP-Code:


$istlgeich = "\n" == '\n';

echo $istgleich ? 'Ja' : 'Nein';

echo "<pre>";

var_dump(array("\n",'\n'));

echo "</pre>";

...beides sollte dir deutlich mache, dass die Zeichenkette \n was anderes ist als das Steuerzeichen \n ... Klingt komisch - ist aber so

Gruss
Jan

**fettmme** · 06.04.2006 01:18

Ich habe mal zum schnellen Test ein einfaches Skript zusammengebastelt. Ist sicher selbsterklärend.
Eventuell muss man das passende PEAR Paket installieren. Viel Spaß damit.

PHP-Code:


// PEAR HTTP Request einbinden. Vielen Dank an die Maintainer Richard Heyes und Alexey Borzov 
require 'HTTP/Request.php';

// Assoc Array mit den Formularfeldern. Key = Feldname, Value = Eintrag
$send = array(
    'Name'=> 'Max',
    'Vorname'=> 'Mustermann',
    'Email'=> "example@example.com%0DBcc: Foo@example.com", // Dieses Feld wollen wir injecten
    'Nachricht'=> 'Dies ist ein Test ...',
    'Submit' => 'Submit'
);

// Falls das Formular in einem htaccess geschützten Bereich liegt, hier Benutzer und Kennwort eintragen
$user = false;
$pass = false;

// Erst das HTTP_REQUEST Objekt erzeugen ...
$r =& new HTTP_Request('http://example.com/meinFormmailer.php');

// ... POST als MEhtode bestimmen ...
$r->setMethod(HTTP_REQUEST_METHOD_POST);

// ... eventuell per HTTP authentifizieren ...
if($user && $pass) $r->setBasicAuth($user, $pass);

// ... alle Formularfelder an das Objekt übergeben ...
foreach($send as $k=>$v){
    $r->addPostData($k, $v);
}

// ... und "den Abschicken Button drücken".
$rs = $r->sendRequest();


if (PEAR::isError($rs)===true){ 
    echo $rs->getMessage(); // falls ein Fehler auftrat
}else{ 
    echo $r->getResponseBody();  // Hier wird der body der aufgerufenen Seite ausgegeben. Hat es geklappt?
}

Und hier das passende HTML Formular:

Code:

<form method="post" action="">
    <label for="Name">Name</label><input type="text" name="Name" id="Name" /><br />
    <label for="Vorname">Vorname</label><input type="text" name="Vorname" id="Vorname" /><br />
    <label for="Email">Email</label><input type="text" name="Email" id="Email" /><br />
    <label for="Nachricht">Nachricht</label><input type="text" name="Nachricht" id="Nachricht" /><br />
    <input type="submit" value="Submit" />
</form>
<?php
if($_POST){
    mail('me@example.com', 'Email von ' . $_POST['Email'], $_POST['Nachricht']);
}
?>

\r und \n reicht scheinbar nicht. Ich war immernoch in der Lage einen String zu injecten. Deshalb prüfe ich jetzt i.d.R case-insensitive auf folgenden Literale:

\r
\n
%0D
%0A
Content-Type:
MIME-Version:
Subject:
bcc:
cc:
Content-Transfer-Encoding:

**His.Master's.Voice** · 18.06.2006 17:25

Seit einiger Zeit bin ich auch Opfer der Bots geworden. Seit dem ich den Formmailer von St@eff.en benutze ist endlich Schluß. Daher dickes Lob an St@eff.en

**Boris** · 06.08.2006 18:12

Passend zum Thema Spambots eine "neue" Art von Captcha: http://www.hotcaptcha.com/

**[jacky]** · 11.08.2006 23:10

Ahahaha, wie geil ist das denn

**downhill** · 07.11.2006 16:19

Hallo zusammen, zunehmend gehen die Spammer auf Kontaktformulare los,
da ich nicht auch betroffen sein möchte, bin ich meine Formulare am überarbeiten.
Hierzu folgende, zugegeben recht restriktive Möglichkeit.

Mein Problem, resp. was ich nicht verstehe. Das Funktioniert mit allen verbotenen
Zeichen super, bis auf \r und \n. Irgendwie scheint die POST Variable jeweils
auch ein solches Steuerzeichen zu enthalten, was mir aber völlig unlogisch ist.

Hat mir jemand einen Anhaltspunkt, damit man die POST Felder auch auf diese
zwei Steuerzeichen überprüfen könnte. So könnte man meiner Meinung nach recht
einfach E-Mailinjections nachhaltig verhindern.

Danke für eure Antworten und noch einen schönen Nachmittag.

HTML-Code:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>
<head>
	<title>E-Mail</title>
</head>

<body>

<?php

// list of forbidden text in input fields
$forbidden[0] = "%0A";
$forbidden[1] = "%0D";
//$forbidden[2] = "\\n";
//$forbidden[3] = "\\r";
$forbidden[4] = "content-type:";
$forbidden[5] = "to:";
$forbidden[6] = "cc:";
$forbidden[7] = "bcc:";
$forbidden[8] = "from:";
$forbidden[9] = "subject:";
$forbidden[10] = "href=";

// check forbidden text in all post variables
foreach($_POST as $key=>$value)
{
	foreach($forbidden as $forbidden_text)
	{
		if (eregi($forbidden_text, stripslashes($value)))
		{
			echo stripslashes($value)." - ".$forbidden_text." - SPAM<br>";
			$spamfound = "1";
			$spammessage = "Nicht erlaubte Steuerzeichen in Ihrer Eingabe gefunden. Nachricht als Spam deklariert.<br><strong>Die Verarbeitung wurde abgebrochen.</strong>";
		}
	}
}
?>

<form action="index.php?action=submit" method="POST">
<input type="text" size="30" name="testfeld" value="<?php echo stripslashes($_POST['testfeld']); ?>">
<input type="submit" name="submit" value="senden">
</form>

</body>
</html>

**MuschPusch** · 07.05.2007 19:20

Es gibt auch zwei patches für php:

http://www.lancs.ac.uk/~steveb/patch...-header-patch/
http://www.lancs.ac.uk/~steveb/patch...ipients-patch/

**Peter** · 24.01.2008 19:49

Hallo,
Mein E-Mail sieht so aus:

X-Mailer: PHP/4.4.7

X-Sender-IP: 91.128.xx.xx

Content-Type: text/html; charset=ISO-8859-1;
Message-Id: <20080124173815.86D76C0F02F7@dd7232blah.com>
Date: Thu, 24 Jan 2008 18:38:15 +0100 (CET)

Name: dafsdfasdfasdfasfdas<br />
...

Habe aber soeben die neue? Version von deiner Seite genommen.

**dahead** · 03.04.2009 17:00

bekommt man das Script nochmal irgendwo?? auf dislabs ist eine fehlerhafte ZIP-Datei.

:/

wäre dankbar

zur Startseite vom TP

Thema: FYI: Email Injection

LinkBack

Themen-Optionen

Thema durchsuchen

Thema bewerten

Kontaktformular SPAM - E-Mailinjection

LinkBacks (?)

Spamschutz bei Formularen - Security - Artfiles GmbH - Supportboard

Artfiles Supportboard | Druckvorschau: Spamschutz bei Formularen | Seite 1

SELFPHP Forum - Spam-Versand über Kontaktformular (PHP-Skript) verhindern

Spam-Versand über Kontaktformular (PHP-Skript) verhindern - SELFPHP Forum

Aktive Benutzer

Aktive Benutzer