Autor |
Nachricht |
eViLaSh
Threadersteller
Dabei seit: 22.05.2003
Ort: Texas
Alter: 40
Geschlecht:
|
Verfasst Di 13.12.2005 16:54
Titel [PHP] Mailform SpamHack |
|
|
Huhu,
einer unserer Kunden hat auf seinem Webspace ein formular, das ein Spammer ausgenutzt hat.
Ich würde nun grene wissen wie genau er das macht!
der Code für das MailForm sieht so aus:
Code: |
<? if(isset($action) && $action == "send"):
while (list($val,$value) = each($HTTP_POST_VARS)):
if (!$value || $val == "Abschicken"){
$mailbody .= "";
}
else
{
$mailbody .= "$val = \t\t\t\t\t $value\n
";
}
endwhile;
mail("insert@mail.de", "Mail von Internetseite www.xxx.de", $mailbody,
"From: $email\nReply-To: $email\n"); |
Wie kann er da Spammails an andere schicken?
was muss er da in das Formular eingeben?
Würde es gerne wissen um zu testen ob es nach dem Umbau sicher ist.
Das hmtl-Formular sieht so aus:
Code: | <form name="form1" method="post" action="<? echo $PHP_SELF ?>?action=send">
<table width="80%" border="0" cellspacing="10" cellpadding="0">
<tr align="left">
<td colspan="2" class="klein"> </td>
</tr>
<tr align="left">
<td colspan="2" class="klein">
<div align="center">Sollten Sie Fragen oder Anregungen zu
unseren Produkten oder unserem Internetauftritt haben, können
Sie uns, mit Hilfe dieses Formulars, eine Nachricht zukommen
lassen.</div>
</td>
</tr>
<tr>
<td width="25%" class="text" align="right"><font face="Arial, Helvetica, sans-serif" size="2">Name:</font></td>
<td width="75%">
<input type="text" name="name" size="20" maxlength="30">
</td>
</tr>
<tr>
<td width="25%" class="text" align="right"><font face="Arial, Helvetica, sans-serif" size="2">Strasse:</font></td>
<td width="75%">
<input type="text" name="strasse" size="20" maxlength="30">
</td>
</tr>
<tr>
<td width="25%" class="text" align="right"><font face="Arial, Helvetica, sans-serif" size="2">PLZ
Stadt:</font></td>
<td width="75%">
<input type="text" name="plz" size="5" maxlength="5">
<input type="text" name="stadt" size="20" maxlength="30">
</td>
</tr>
<tr>
<td width="25%" class="text" align="right"><font face="Arial, Helvetica, sans-serif" size="2">Telefon:</font></td>
<td width="75%">
<input type="text" name="telefon" size="20" maxlength="25">
</td>
</tr>
<tr>
<td width="25%" class="text" align="right"><font face="Arial, Helvetica, sans-serif" size="2">Telefax:</font></td>
<td width="75%">
<input type="text" name="telefax" size="20" maxlength="30">
</td>
</tr>
<tr>
<td width="25%" class="text" align="right"><font face="Arial, Helvetica, sans-serif" size="2">Email:</font></td>
<td width="75%">
<input type="text" name="email" size="20" maxlength="25">
</td>
</tr>
<tr align="center">
<td align="right" class="text"><font face="Arial, Helvetica, sans-serif" size="2">Nachricht:
</font></td>
<td class="text"> </td>
</tr>
<tr align="center">
<td colspan="2" class="text">
<textarea name="nachricht" rows="8" cols="25"></textarea>
</td>
</tr>
<tr align="center">
<td colspan="2" class="text">
<input type="submit" name="Abschicken" value="Diese Nachricht senden!">
</td>
</tr>
<tr align="center">
<td colspan="2" class="text"><span class="klein">Hinweis: Selbstverständlich
bearbeiten wir Ihre Zuschrift vertraulich. Die an uns übermittelten
Daten werden nicht an Dritte weitergegeben. Wir behalten uns
vor, Ihre Daten in Rahmen unserer Kundenkartei zu speichern.
Alle übermittelten Daten unterliegen dem Deutschen Datenschutzgesetz.
</span> </td>
</tr>
</table>
</form> |
also nix besonderes....
|
|
|
|
|
gtz
Dabei seit: 15.04.2002
Ort: -
Alter: 48
Geschlecht:
|
Verfasst Di 13.12.2005 16:58
Titel
|
|
|
wie "was musser da eintragen"? empfänger und text. wasn sonst?
edit:
ganz offensichtlich is auf deinem server register_globals eingeschaltet, sodass der quasi beliebigen kram über $_GET ins script einschleusen kann.
Zuletzt bearbeitet von gtz am Di 13.12.2005 17:00, insgesamt 1-mal bearbeitet
|
|
|
|
|
Anzeige
|
|
|
xaos
Dabei seit: 06.10.2004
Ort: Kargath
Alter: -
Geschlecht: -
|
|
|
|
|
eViLaSh
Threadersteller
Dabei seit: 22.05.2003
Ort: Texas
Alter: 40
Geschlecht:
|
Verfasst Di 13.12.2005 17:02
Titel
|
|
|
ähm.
also, normalerweisse bekommt die Email ja nur der Betrieber dieses Scriptes(Homepage) - aber dem Spammer ist es Gelungen über dieses Formular 1000de von SpamEmails an verschiedene E-Maildressen zu schicken.
Frage: wie hat er das gemacht (der Spammer).
Durch einfaches eingeben der Daten geht das ja wohl nich wirklich. Er muss ja einen PHP Code eingeben damit es die Mails verschickt.
Edit: mir is das klar, das die Daten völlig ungeprüft sind, ich würde nur gerne die Vorgehensweisse des Spammers kennen um zu testen das das Formular auch wirkllich sicher ist (know your enemy).
Wie trägt/schläußt er den PHP code in das Formular ein.
Zuletzt bearbeitet von eViLaSh am Di 13.12.2005 17:06, insgesamt 1-mal bearbeitet
|
|
|
|
|
gtz
Dabei seit: 15.04.2002
Ort: -
Alter: 48
Geschlecht:
|
Verfasst Di 13.12.2005 17:07
Titel
|
|
|
eViLaSh hat geschrieben: | Er muss ja einen PHP Code eingeben damit es die Mails verschickt. |
mitnichten. man kann z.b. relativ ungeprüft diverse weitere header in $email mitschicken. da is gewissermaßen sogut wie alles drin.
|
|
|
|
|
eViLaSh
Threadersteller
Dabei seit: 22.05.2003
Ort: Texas
Alter: 40
Geschlecht:
|
Verfasst Di 13.12.2005 17:20
Titel
|
|
|
gtz hat geschrieben: | eViLaSh hat geschrieben: | Er muss ja einen PHP Code eingeben damit es die Mails verschickt. |
mitnichten. man kann z.b. relativ ungeprüft diverse weitere header in $email mitschicken. da is gewissermaßen sogut wie alles drin. |
ok, soweit bin ich jetzt.
wenn ich jetzt in das E-Mail-Form zB. eingebe:
sender@anonymous.www%0ACc:recipient@someothersite.xxx%0ABcc:somebloke@grrrr.xxx,someotherbloke@oooops.xxx
dann sollte er es an diese Adressen mit schicken?
ich probier das grad mit meiner E-Mail addresse aus, aber es funktioniert nicht.
|
|
|
|
|
gtz
Dabei seit: 15.04.2002
Ort: -
Alter: 48
Geschlecht:
|
Verfasst Di 13.12.2005 17:35
Titel
|
|
|
is nich der reguläre divider für mail-header.
|
|
|
|
|
eViLaSh
Threadersteller
Dabei seit: 22.05.2003
Ort: Texas
Alter: 40
Geschlecht:
|
Verfasst Di 13.12.2005 17:38
Titel
|
|
|
kannst du bitte mal so schreiben, das man dir nich alles aus der nase ziehen muss - bzw. es für einen PHP-Laien besser Verständlich ist.
trotzdem danke für deine bemühungen!
Zuletzt bearbeitet von eViLaSh am Di 13.12.2005 17:39, insgesamt 1-mal bearbeitet
|
|
|
|
|
|
|
|
Ähnliche Themen |
Mailform da ist richtig aber ergandwas stimmt nicht !
|
|