php.hr
Dobrodošli, Gost. Molimo, prijavite se ili se registrirajte.
17.02.2025., 19:49
1878 Postova 1000 Tema 442 Članova
Najnoviji Član: medolino
php.hr  |  PHP & MySQL  |  PHP  |  mail() sigurnost « natrag naprijed »
 Str: [1]
Autor Tema: mail() sigurnost  (Posjeta: 3018 )
nori
Novi član
*
Offline Offline

Postova: 29



Profil
« : 07.09.2005., 19:41 »

Evo zanima me vase misljenje glede mail() funkcije i sigurnosti. Tu najvise mislim neprovjeravanje user inputa vezano na additional_headers argument.

Sve ovo pitam jer sam zadnji tjedan primjetio da mi netko (ili vise njih) sustavno skenira (bolje receno testira) neke neke skripte koje imaju za input email  (npr kontak formulari i mailman web interface(ovo nema veze s PHP ali cisto da imate informaciju)). Ima netko nekih iskustva s time? Posto dosta saroliko trazi pa mi nije jasno sto to trazi (neki bug(rupu) PHP/pythona/ASP, poslati spam(virus), mozda DoS mail servera, ili samo bezazleni Vulnerability Scanner....)?

Boris
Evidentirano
hrgan
Novi član
*
Offline Offline

Postova: 10



Profil WWW
« Odgovor #1 : 10.10.2005., 18:01 »

Citat:
Sve ovo pitam jer sam zadnji tjedan primjetio da mi netko (ili vise njih) sustavno skenira (bolje receno testira) neke neke skripte koje imaju za input email (npr kontak formulari i mailman web interface(ovo nema veze s PHP ali cisto da imate informaciju)). Ima netko nekih iskustva s time?


da, to sam i ja primjetio na site svoje firme. pod polje e-mail upiše neki nepoznati e-mail i submita formu.
Evidentirano
nori
Novi član
*
Offline Offline

Postova: 29



Profil
« Odgovor #2 : 11.10.2005., 10:07 »

Citat: hrgan

da, to sam i ja primjetio na site svoje firme. pod polje e-mail upiše neki nepoznati e-mail i submita formu.


To nije neki problem. Veci je problem ako npr. umjesto emaila bubne:
Kod:

nwyuw@site.com
Content-Type: multipart/mixed; boundary="===============1463246040=="
MIME-Version: 1.0
Subject: cdf45cf5
To: nwyuw@site.com
bcc: jrubin3546@aol.com
From: nwyuw@site.com

This is a multi-part message in MIME format.

--===============1463246040==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

egzwvaam
--===============1463246040==--

I recimo zaboravis provjeriti (serverski) user input kao npr:
Kod:

mail("ja@phpas.net", "Hvala", "Puno Hvala", "From: ".$onajgore_input);

Ako stavi nesto konkretnije i malo podeblja bcc ...
Evidentirano
 Str: [1]
php.hr  |  PHP & MySQL  |  PHP  |  mail() sigurnost « natrag naprijed »
    Skoči na: