Ist dieses "Formular" angreifbar?

tinof · Beitrag von **tinof** » Di 27. Jan 2009, 11:27

Hallo,

ich habe eine Frage an die Sicherheitsexperten. Bitte gestattet mir diese, auch wenn sie nichts direkt mit Contenido zu tun hat.
Ein Kunde hat ein E-Mail - Formular, mit < .. action=meincode.php>

Code: Alles auswählen

<?php
  $recipient = "mail@meineadresse.de";
  $fmtResponse= implode("", file("responsevorlage.htt"));
  $fmtMail= implode("", file("mailvorlage.htt"));
  foreach($HTTP_POST_VARS as $key=> $val) {
    $fmtResponse= str_replace("<$key>", $val, $fmtResponse);
    $fmtMail= str_replace("<$key>", $val, $fmtMail);
  }
  if ($HTTP_POST_VARS["access"] == "schluesselwort") {
    mail($recipient, $HTTP_POST_VARS["subject"], $fmtMail);
  }
  echo $fmtResponse;
?>

meincode.php

Das Formular wird laut log überdurchschnittlich oft aufgerufen, das kann eigentlich nicht sein (so frequentiert ist die Site nicht).

Also wird sich da einer zu schaffen machen - aber wie?

php.ini

Code: Alles auswählen

registerglobals = on
allow_url_fopen = on

Ja, diese Einstellungen werden wir gleich mal ändern, aber wie kann man o.g. Formular missbrauchen ? Als Mailer wird Sendmail verwendet.

Danke
Tino

Beitrag von **Oldperl** » Mi 28. Jan 2009, 10:13

verschoben

Gruß aus Franken

Ortwin

tinof · Beitrag von **tinof** » Mi 28. Jan 2009, 11:12

Danke und sorry

Also, nach aktuellem Kenntnisstand hat uns nur irgendein bot automatisch jede Menge Werbemüll gesendet.
Die Mails kamen aber immer bei uns an; das Formular läßt sich wohl nicht zum Versand an Dritte mißbrauchen.

Ein Umbenennen der Datei stellte den Bot fürs erste ruhig.

Wir denken jetzt über ein Captcha nach, um das Problem dauerhaft zu lösen.

Sorry for offtopic.

timo.trautmann_4fb

Allgemein kann ich nur die Verwendung eines Captchas gegen Bots empfehlen.