|
[PHP] Ist mein Mailskript sicher?
Ich habe folgendes Mailskript geschrieben:
Code:
Ist das sicher oder gibt es irgendwelche Sicherheitslücken, mit denen man eventuell Unsinn anstellen könnte?
<?php
/* * Mailskript für michael-puff.de * Autor: Michael Puff * Datum: 2010-09-23 */ define("TO", "webmaster@michael-puff.de"); define("INVALID_ADDRESS_TEXT", "<p>Die angegebene E-Mail Adresse ist ungültig</p>"); define("INVALID_FIELDS_TEXT", "<p>Füllen Sie mindestens die mit * gekennzeichneten Felder aus und überprüfen Sie ihre E-Mail Adresse auf Gültigkeit.</p> <p>Benutzen Sie die Zurück-Schaltefläche Ihres Browsers, um zum Kontaktformular zurück zu gelangen.</p>"); define("SUCCESS_TEXT", "<p>Die E-Mail wurde erfolgreich versendet.</p>"); define("SEND_ERROR_TEXT", "<p>Es ist ein Fehler beim Senden der E-Mail aufgetreten.</p>"); define("CHARSET", "UTF-8"); $from = $_POST['from']; $yourname = $_POST['yourname']; $subject = $_POST['subject']; $msg = $_POST['text']; $msg = stripslashes($msg); function validateEmail($email) { $regexp = "^([_a-z0-9-]+)(\.[_a-z0-9-]+)*@([a-z0-9-]+)(\.[a-z0-9-]+)*(\.[a-z]{2,4})$"; $valid = 0; if (eregi($regexp, $email)) { list($username,$domaintld) = split("@",$email); if (getmxrr($domaintld,$mxrecords)) $valid = 1; } else { $valid = 0; } return $valid; } function htmlOutput($text) { echo "<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Transitional//EN\" \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd\">\n"; echo "<html xmlns=\"http://www.w3.org/1999/xhtml\" dir=\"ltr\" lang=\"de\">\n"; echo "\t<head>\n"; echo "\t\t<meta http-equiv=\"content-type\" content=\"text/html; charset=UTF-8\" />\n"; echo "\t\t<meta http-equiv=\"Content-Style-Type\" content=\"text/css\" />\n"; echo "\t\t<meta name=\"author\" content=\"Michael Puff\" />\n"; echo "\t\t<meta name=\"robots\" content=\"follow\" />\n"; echo "\t\t<meta name=\"language\" content=\"de\" />\n"; echo "\t\t<meta name=\"keywords\" content=\"\" />\n"; echo "\t\t<meta name=\"description\" content=\"\" />\n"; echo "\t\t<link rel=\"stylesheet\" type=\"text/css\" href=\"/data/stylesheet.css\" media=\"screen\" />\n"; echo "\t\t<link rel=\"stylesheet\" type=\"text/css\" href=\"/data/print.css\" media=\"print\" />\n"; echo "\t\t<title>E-Mail versenden</title>\n"; echo "\t</head>\n"; echo "\t<body>\n"; include ("nav.html"); echo "\t\t\t<h1>E-Mail versenden</h1>\n"; echo "\t\t<hr>\n"; echo "\t\t".$text."\n"; echo "\t\t<hr>\n"; echo "\t\t<center>".date("r", filectime("mail.php"))."</center>\n"; echo "\t</body>\n"; echo "</html>\n"; } function sendMail($to, $subject, $msg, $yourname, $from) { $headers = "MIME-Version: 1.0\n". "Content-Type: text/plain; charset=".CHARSET."\n". "From: \"".$yourname."\" <".$from.">\n". "Date: ".date("r")."\n"; return @mail($to, $subject, $msg, $headers); } if(!validateEmail($from)) { htmlOutput(INVALID_ADDRESS_TEXT); die(); } if (empty($from) || empty($subject) || empty($msg) || (!validateEmail($from))) { htmlOutput(INVALID_FIELDS_TEXT); die(); } if (sendMail(TO, $subject, $msg, $yourname, $from)) { htmlOutput(SUCCESS_TEXT); die(); } else { htmlOutput(ERROR_SEND_TEXT); die(); } ?> |
AW: [PHP] Ist mein Mailskript sicher?
Also wenn ich das richtig sehe könnte man bei $_POST['yourname'] bel. Zeichenfolgen senden. Also auch \n damit könnte man auch Header Einträge hinzufügen. Wenn ich CCs und BCCs hinzufüge könnte ich das Skript wohl zum Spamversand nutzen. Wenn ich statt den Header \n\n einfüge könnte ich vielleicht dir eine HTML Mail schreiben die was auch immer macht.
... |
AW: [PHP] Ist mein Mailskript sicher?
gleiches gilt auch für das "from" wenn ich nicht irre.
|
AW: [PHP] Ist mein Mailskript sicher?
Das würde aber für alle Felder bis auf das Absenderadressenfeld gelten oder?
Wie kann man das jetzt sicher machen? $from wird ja auf eine gültige E-Mail Adresse überprüft. |
AW: [PHP] Ist mein Mailskript sicher?
Du könntest die Zeilenumbrüche aus den betroffenen Feldern rausfiltern.
|
AW: [PHP] Ist mein Mailskript sicher?
Die restlichen Felder sollten durch die mail-funktion abgesichert sein. Lediglich bei den zusätzlichen Headern kann sich eben etwas einschleichen. Das From ist natürlich wirklich nicht betroffen wenn die Prüfung auf eine gültige E-Mailadresse ohne Zeilenumbrüche etc. durchgeführt wird.
Beim Namen solltest du prüfen ob ein Zeilenumbruch, <, oder > vorkommen. Auch das filtern von " und ' sollte nicht schaden. |
AW: [PHP] Ist mein Mailskript sicher?
Gibt es dafür von PHP schon fertige Funktionen? Ich arbeite nicht allzu regelmäßig mit PHP, deswegen frage ich da mal nach, weil ich nicht so den Überblick habe, was es gibt und was nicht.
|
AW: [PHP] Ist mein Mailskript sicher?
Sollte mit Regulären Ausdrücken kein Problem sein. Es gibt auch fertige Lösungen (pear o.ö.)
|
AW: [PHP] Ist mein Mailskript sicher?
Also mit stripslashes könnte ich ja schon mal alle PHP-Steuerzeichen unbrauchbar machen. Gibt es auch was um HTML-Code zu entfernen? Denn dann hätte ich ja alle Sicherheitslücken beseitigt oder?
Habe jetzt folgende:
Code:
$yourname = $_POST['yourname'];
$yourname = stripslashes($yourname); $yourname = strip_tags($yourname); $subject = $_POST['subject']; $subject = stripslashes($subject); $subject = strip-tags($subject); $msg = $_POST['text']; $msg = stripslashes($msg); $msg = strip_tags($msg); |
AW: [PHP] Ist mein Mailskript sicher?
Code:
htmlentities();
|
AW: [PHP] Ist mein Mailskript sicher?
Ich glaube genau das will ich nicht:
Zitat:
|
AW: [PHP] Ist mein Mailskript sicher?
Zitat:
Am besten verwendest du eine fertige Lösung wie die Klasse PHPMailer |
AW: [PHP] Ist mein Mailskript sicher?
Ich wollte es eigentlich selber machen und nichts fertiges verwenden - auch zu Lernzwecken.
|
AW: [PHP] Ist mein Mailskript sicher?
Zitat:
Und zeichen wie 0x0A (#10) und 0x0D (#13) müssen auf jeden Fall raus. Aber wirklich gut kenn ich mich mit Mails auch nicht aus, also keine Gewähr. lg Björn |
AW: [PHP] Ist mein Mailskript sicher?
Was müsste man bei dieser Funktion noch ergänzen, damit man saubere Daten hat:
Code:
function cleanPostData($data) {
$temp = stripslashes($data); $temp = strip_tags($temp); return $temp; } |
AW: [PHP] Ist mein Mailskript sicher?
auf jeden Fall noch $temp = str_replace("\n", "", $temp);
|
AW: [PHP] Ist mein Mailskript sicher?
Wenn ich die Slashes entferne, dann wird doch aus "\n" "n" und ist somit auch unschädlich. Oder irre ich da jetzt?
|
AW: [PHP] Ist mein Mailskript sicher?
Also bei meinem Test wird:
Code:
von deiner Funktion nicht verändert. Und die Eingabe könnte ich deinem Script ohne weiteres per POST schicken...
echo cleanPostData("a:b
c:d"); |
AW: [PHP] Ist mein Mailskript sicher?
Aber das ist kein \n-Zeilenumbruch. Für deinen Fall brauche ich ja noch was.
|
AW: [PHP] Ist mein Mailskript sicher?
Mit meiner Zeile wird der Zeilenumbruch der Eingabe aber entfernt :)
|
AW: [PHP] Ist mein Mailskript sicher?
OK, überredet. Wird nachher eingebaut.
Was kann man sonst noch an der Funktion verbessern? |
AW: [PHP] Ist mein Mailskript sicher?
Zitat:
|
AW: [PHP] Ist mein Mailskript sicher?
Zitat:
|
AW: [PHP] Ist mein Mailskript sicher?
Zitat:
Man sollte generell vorsichtig sein, mit Hilfe von str_replace oder preg_replace Formularwerte/Parameter abzusichern. Z.B. könnte man auf die Idee kommen, bei einer Pfadangabe aus Sicherheitsgründen ganz naiv ".." durch "" zu ersetzen. Allerdings übersieht man dabei leicht, was passiert, wenn der Angreifer "...." übergibt. Es gibt viele Sicherheitslücken solcher Art, und nicht alle sind auf den ersten Blick so offensichtlich. |
AW: [PHP] Ist mein Mailskript sicher?
Kurzum: nein, ist es nicht. Absolut nicht. So unsicher dass ich dir empfehle, es sofort offline zu nehmen falls du es online hast. Die Gruende hast du schon gehoert.
Zitat:
Zur Regex die die E-Mail-Adresse validiert: * foo+something@web.de (ist gueltig, wird abgelehnt) * somebody@deutsches.museum (ist gueltig, wird abgelehnt, vgl. auch  .museum auf Wikipedia)* abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwx yzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuv wxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrst uvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqr stuvwxyz@abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvw xyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstu vwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrs tuvwxyz.de [die Leerzeichen bitte ignorieren, die Software fuegt diese ein] (ist ungueltig, wird akzeptiert) Du solltest dir evtl. nochmal RFC 5322 zu Gemuete fuehren.Greetz alcaeus |
AW: [PHP] Ist mein Mailskript sicher?
Zitat:
Zitat:
|
AW: [PHP] Ist mein Mailskript sicher?
wenn der string \n enthält fehler ausgeben, bei der eingabe über ein einzeiliges input kann es sich eigentlich nur noch um einen hack handeln?
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:41 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz