Seite 1 von 1

Ist dieses "Formular" angreifbar?

Verfasst: Di 27. Jan 2009, 11:27
von tinof
Hallo,

ich habe eine Frage an die Sicherheitsexperten. Bitte gestattet mir diese, auch wenn sie nichts direkt mit Contenido zu tun hat.
Ein Kunde hat ein E-Mail - Formular, mit < .. action=meincode.php>

Code: Alles auswählen

<?php
  $recipient = "mail@meineadresse.de";
  $fmtResponse= implode("", file("responsevorlage.htt"));
  $fmtMail= implode("", file("mailvorlage.htt"));
  foreach($HTTP_POST_VARS as $key=> $val) {
    $fmtResponse= str_replace("<$key>", $val, $fmtResponse);
    $fmtMail= str_replace("<$key>", $val, $fmtMail);
  }
  if ($HTTP_POST_VARS["access"] == "schluesselwort") {
    mail($recipient, $HTTP_POST_VARS["subject"], $fmtMail);
  }
  echo $fmtResponse;
?>
meincode.php

Das Formular wird laut log überdurchschnittlich oft aufgerufen, das kann eigentlich nicht sein (so frequentiert ist die Site nicht).

Also wird sich da einer zu schaffen machen - aber wie?

php.ini

Code: Alles auswählen

registerglobals = on
allow_url_fopen = on
Ja, diese Einstellungen werden wir gleich mal ändern, aber wie kann man o.g. Formular missbrauchen ? Als Mailer wird Sendmail verwendet.

Danke
Tino

Verfasst: Mi 28. Jan 2009, 10:13
von Oldperl
verschoben 8)

Gruß aus Franken

Ortwin

Verfasst: Mi 28. Jan 2009, 11:12
von tinof
Danke und sorry :oops:

Also, nach aktuellem Kenntnisstand hat uns nur irgendein bot automatisch jede Menge Werbemüll gesendet.
Die Mails kamen aber immer bei uns an; das Formular läßt sich wohl nicht zum Versand an Dritte mißbrauchen.

Ein Umbenennen der Datei stellte den Bot fürs erste ruhig.

Wir denken jetzt über ein Captcha nach, um das Problem dauerhaft zu lösen.


Sorry for offtopic.

Verfasst: Mi 28. Jan 2009, 11:14
von timo.trautmann_4fb
Allgemein kann ich nur die Verwendung eines Captchas gegen Bots empfehlen.