2

今日、あるドメインから大量のスパムが送信されているという連絡を受けました。これは、名前、電子メール、電話番号、およびメッセージを含む連絡先フォームを備えた比較的単純な php Web サイトです。サーバー全体がハッキングされない限り、このサイトを使用して複数のユーザーにスパム メッセージを送信する方法は他にないと思います。

電子メールが検証され、メッセージの本文から不適切な文字が取り除かれます。フォームを介してヘッダーを変更しようとする方法を複数試しましたが、何も機能しないように見えるため、フォームが安全であると考え始めています。

これはフォームの検証です:

                              $to='owner@website.com';
              
              $messageSubject='Enquiry from the website';
              $confirmationSubject='Your email to website.com';
              $confirmationBody="Thankyou for your recent email enquiry to website.com.\n\nYour email has been sent and we will get back to you as soon as possible.\n\nThe message you sent was:\n";
              $email='';
              $body='';
              $displayForm=true;
              if ($_POST){
                $email=stripslashes($_POST['email']);
                $body=stripslashes($_POST['body']);
                $name=stripslashes($_POST['name']);
                $phone=stripslashes($_POST['phone']);
                // validate e-mail address
                $valid=eregi('^([0-9a-z]+[-._+&])*[0-9a-z]+@([-0-9a-z]+[.])+[a-z]{2,6}$',$email);
                $crack=eregi("(\r|\n)(to:|from:|cc:|bcc:)",$body);
                $spam=eregi("http",$body);
                $businessBody = "Enquiry from: $name\nEmail: $email\nPhone: $phone\n\nMessage:\n$body";
                if ($email && $body && $phone && $name && $valid && !$crack & !$spam){
                    if (mail($to,$messageSubject,$businessBody,'From: '.$email."\r\n") && mail($email,$confirmationSubject,$confirmationBody.$body,'From: '.$to."\r\n")){
                        $displayForm=false;
                        echo "<div><p>Your message to us was sent successfully, and a confirmation copy has also been sent to your e-mail address.</p><p>Your message was:<br>".htmlspecialchars($body)."</p></div>";
                    }
                    else echo '<div class="emailMessage"><p>Something went wrong when the server tried to send your message. This might be due to a server error, and is probably not your fault. We apologise for any inconvenience caused. You are welcome to telephone us on 01383 625110</p></div>'; // the messages could not be sent
                }
                else if ($crack) echo '<div class="emailMessage"><p>Your message contained e-mail headers within the message body. This seems to be a cracking attempt and the message has not been sent.</p></div>'; // cracking attempt
                else if ($spam) echo '<div class="emailMessage"><p>Your message contained characters that our system has flagged as spam email and has not been sent.</p></div>'; // spam mail!
                else echo '<div class="emailMessage"><p>Your message could not be sent. You must complete all fields - name, phone number, e-mail address and a message.</p></div>'; // form not complete
                }

このフォームが悪用される可能性があることを誰でも理解できますか?

編集

誰かが大量メール送信用に構築されたサーバーに別の暗号化ファイルを配置したことが判明したため、実際にはこのフォームから送信されたものではありませんでした. とにかく答えてくれてありがとう、彼らは他の人を助けるかもしれません!

4

3 に答える 3

5

SwiftMailerのような適切なメーリング クラスを使用すれば、問題が軽減されます (コードの見栄えも良くなります)。通常、これらの種類のフォームは、「from」またはその他のヘッダーに改行を追加することで悪用され、独自の悪意のあるヘッダーを設定できるようになります。

例えば:

if (mail($to,$messageSubject,$businessBody,'From: '.$email."\r\n") && mail($email,$confirmationSubject,$confirmationBody.$body,'From: '.$to."\r\n")){

スラッシュを削除しましたが、新しい行は削除していません。電子メールを次のように設定した場合:

ceejayoz@example.com
Bcc: victim@example.com

犠牲者@example.com は、電子メールで BCC されます。複数の部分からなる電子メールに変換し、デフォルトの部分を追加するなど、より巧妙な方法で、電子メールを完全にカスタマイズできます。

于 2012-09-05T20:09:01.587 に答える
0

$ _POST ['email']が次の場合、大量送信が可能です。

usera@test.com,userb@test.com,userc@test.com
于 2012-09-05T20:12:12.320 に答える
0

@ceejayozの答えは良いですが、コードでbccと改行を防止しようとしていることがわかりますが、電子メールフィールドではなく、電子メールの本文でのみです。ハッキングに対して最も脆弱なのは電子メール フィールドです。

メール フィールドを保護するために何年も使用してきたコードを次に示します。

 $value = "some@email.com";
    if (!preg_match("/^[a-z0-9!#$%&'*+\/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+\/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?$/i", $value)){
         $error[$i] = "Invalid email address.";
    }
        //Nuke email header injection.
        $submitted = $value;
        $value = str_replace('\\r', '\n', $value);
        $value = str_replace('\\n', '\n', $value);
        $value = str_replace('\r', '\n', $value);
        $value = str_replace(',', '\n', $value);
        $value = str_replace(';', '\n', $value);
        $value = str_replace(' ', '\n', $value);
        $value = explode('\n', $value);
        $value = $value[0];
        if (trim($value) !== trim($submitted)) {
            echo "Stop hacking me!";
        }
    }

または、ceejayoz が言うように、他の人のクラスを使用します。

また、複数レベルの防御をコードに追加するもう 1 つの方法として、キャプチャと残りの部分、または 1 分あたりの送信数を制限することを検討してください。

于 2012-09-05T20:25:21.907 に答える