Discussion :

[skybuck]

salut,
je viens d'apprendre que depuis qq semaines tout au plus , il y a une nouvelle vague de d'attaque sur les sites PHP comportant des formulaires d'envoi par mail

c'est une attaque d'une nouvelle sorte

les resultats : des spam depuis votre site de plusieur centaine de mail en qq secondes

qqun peut il m'en dire plus la dessus
ou puis je trouver des infos et surtout comment s'en proteger

merci

[siddh]

je sais pas si ca peut t aider :
http://aspirine.org/emailcode.php

[skybuck]

l'attaque dont je parle est plus recentes, qq semaines voir 1 ou2 mois au pire

[..:: Atchoum ::..]

Salut,

C'est de l'injection dans les headers...
A lire attentivement
http://www.phpsecure.info/v2/article/MailHeadersInject.php

Une des parades est aussi de vérifier scrupuluseuses (avec une regexp) la valeur du champs entré dans le from ( ce qui evite la possibillité aux spammers de mettre des retours chariots)

@+

[skybuck]

merci

j'aimerais trouver sur le net, une nouvelle qui parle de cette recente vague
yatil qqun qui aurait apercu une telle news ?

[skybuck]

j'ai un collegue qui a ete attaqué hier de cette facon
son hebergeur a du geler son site pendant plusieurs heure

je n'arrive pas a trouver de news sur le net parlant de ces recentes attaque de site php
pouvez vous m'aidez
?

[Mr N.]

Salut,

C'est de l'injection dans les headers...
A lire attentivement
http://www.phpsecure.info/v2/article/MailHeadersInject.php

Une des parades est aussi de vérifier scrupuluseuses (avec une regexp) la valeur du champs entré dans le from ( ce qui evite la possibillité aux spammers de mettre des retours chariots)

Très intéressant

[Mystic26]

je pense qu'il y a une petite erreur sur le contre-attaque

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if (eregi("\r",$from) || eregi("\n",$from)){
die("Why ?? :(");
}

ne fonctionne pas

par contre j'ai testé avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if (eregi("\\r",$from) || eregi("\\n",$from)){
die("Why ?? :(");
}

là ça fonctionne.

si quelqu'un peut me confirmer.

[skybuck]

cet article est super interressant mais date deja ....
je me demande donc s'il correspond aux attaques recente des sur des spam envoyé depuis des sites en php (ce qui n'etait pas le cas avant)

[Mystic26]

j'ai testé sur mon site sans utiliser la protection, apparement ça ne passe pas, pas de mail en double ou autre.

peut être implémenté dans les version de php ultérieure à la faille ?

[Homegrown]

je pense qu'il y a une petite erreur sur le contre-attaque

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if (eregi("\r",$from) || eregi("\n",$from)){
die("Why ?? :(");
}

ne fonctionne pas

par contre j'ai testé avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if (eregi("\\r",$from) || eregi("\\n",$from)){
die("Why ?? :(");
}

là ça fonctionne.

si quelqu'un peut me confirmer.

Hello

Non,\n, c'est correct, seuleument il faut pouvoir inserer un vrai retour charriot, ou bien alors ton serveur slash doffice....

A+

[Naktan]

C'est de l'injection dans les headers...
A lire attentivement Wink
http://www.phpsecure.info/v2/article/MailHeadersInject.php

Merci, article très interessant et très enrichissant