problème spam via formulaire en ligne

problème spam via formulaire en ligne - PHP - Programmation

Marsh Posté le 08-12-2005 à 07:39:19    

bonjour,
celà fait maintenant quelques temps que je reçois des demandes bizarres car complètement codées via mon formulaire mis en place sur mon site, j'en ai 10 par jour et en voici le contenant :
 
9c4d4ee3a83b338120ee516a0487fbc0
.
>
X-Sender: <webmaster@xxx.com>
X-Priority: 3
Return-Path:  
Content-Type: text/html; charset=iso-8859-1;
 
<html><BODY BGCOLOR='#FFFFFF' TEXT='#000000'> Vous avez re&ccedil;u un  
message depuis votre site Internet :<BR>
<TABLE WIDTH='400' BORDER='1' BORDERCOLOR='#FF8000'><TR><TD COLSPAN='2'  
ALIGN='center'><H2><FONT COLOR='#003366'>Exp&eacute;diteur :  
</FONT></H2></TD></TR>
<TR><TD> Société : </TD><TD><B>  </B></TD></TR>
<TR><TD> Adresse : </TD><TD><B>  </B></TD></TR>
<TR><TD> Activité : </TD><TD><B>   </B></TD></TR>
<TR><TR><TD> Intitulé : </TD><TD><B>   </B></TD></TR>
<TR><TR><TD> Contact : </TD><TD><B>   </B></TD></TR>
<TR><TD> Ville : </TD><TD><B>  </B></TD></TR>
<TD> Telephone : </TD><TD><B>  </B></TD></TR>
<TR><TD> Fonction : </TD><TD><B>  </B></TD></TR>
<TR><TD> Email : </TD><TD><B> gas
Content-Type: text/plain; charset=\"us-ascii\"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Subject: good . . t
bcc: charleslegbe@aol.com
 
9c4d4ee3a83b338120ee516a0487fbc0
.
 </B></TD></TR>
<TR><TD> Objectif de votre site :</TD><TD><B>     </B></TD></TR>
<TR><TR><TD> Type de cible :</TD><TD><B>    </B></TD></TR>
<TR><TR><TD> Langues :</TD><TD><B>  </B></TD></TR>
<TR><TR><TD> Nombre de pages :</TD><TD><B>  </B></TD></TR>
<TR><TR><TD> Module de paiement sécurisé :</TD><TD><B>    
</B></TD></TR>
<TR><TR><TD> Services :</TD><TD><B>         </B></TD></TR>
<TR><TR><TD COLSPAN='2' ALIGN='center' BGCOLOR='#FF8000'> &nbsp;  
</TD></TR>
<TR><TD COLSPAN='2' ALIGN='center'><H2> BUDGET : </H2></TD></TR>
<TR><TD COLSPAN='2'>  </TD></TR>
</TABLE></BODY></HTML>
 
auriez-vous une idée ?
merci.

Reply

Marsh Posté le 08-12-2005 à 07:39:19   

Reply

Marsh Posté le 08-12-2005 à 09:12:06    

ben :  
 
le gars a désactivé le javascript et donc il peut envoyer le formulaire comme bon lui semble.
 
ton formulaire doit tester si les champs sont vides, mais que en Javascript, alors qu'il faudrait le faire aussi en PHP.
 
aller hop try again
 
donc tout à refaire.

Reply

Marsh Posté le 08-12-2005 à 09:24:29    

Euh pas tout quand même faut juste vérifier coté serveur aussi c'est tout :p


---------------
http://www.alsacreations.com, http://www.openweb.eu.org. Mon CV : http://cv.roane-irkana.net. A ne surtout pas prendre en exemple : http://www.worldinternet.be
Reply

Marsh Posté le 08-12-2005 à 11:32:26    

C'est la très classique "email injection".
 
Regarde ce passage du mail :

<TR><TD> Email : </TD><TD><B> gas
Content-Type: text/plain; charset=\"us-ascii\"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Subject: good . . t ............


Au lieu d'avoir une adresse mail, y'a des entête qui apparaissent.
 
C'est quand on fait un truc du style :

$header .= 'From: ' . $_POST['mail'] . "\n";


 
Alors forcément si on met dans $_POST['mail'] n'importe quoi (genre des entêtes, et une liste de mails), on peut envoyer ce que l'on veut à qui on le veut.
 
Protection possible :

$header .= 'From: ' . addslashes(str_replace(array("\r", "\n" ), ' ', $_POST['mail'])) . "\n";


Message édité par FlorentG le 08-12-2005 à 11:33:00
Reply

Marsh Posté le 08-12-2005 à 13:17:27    

ho putaing, connaissait SQL injection mais l'email injection lauleee

Reply

Marsh Posté le 09-12-2005 à 16:03:23    

moi j'di qu'il faut faire sur chaque formulaire une vérification javascript puis une fois sur le serveur, une vérification encore plus drastique en php. Simple, net précis, pas à se prendre la tête deux fois sur du code de vérification, inconvénient, faut le taper deux fois....

Reply

Marsh Posté le 09-12-2005 à 16:46:53    

lordashram a écrit :

moi j'di qu'il faut faire sur chaque formulaire une vérification javascript puis une fois sur le serveur, une vérification encore plus drastique en php. Simple, net précis, pas à se prendre la tête deux fois sur du code de vérification, inconvénient, faut le taper deux fois....


 
 
 [:xp1700]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed