2

我今天被联系到从一个域发送大量垃圾邮件。这是一个相对简单的 php 网站,带有一个包含姓名、电子邮件、电话和消息的联系表。除非整个服务器被黑客入侵,否则我看不到该网站可用于向多个用户发送垃圾邮件的任何其他方式。

电子邮件经过验证,错误字符从邮件正文中删除。我尝试了多种方法来尝试通过表单修改标题,但似乎无法正常工作,所以我开始认为表单是安全的。

这是表单验证:

                              $to='owner@website.com';
              
              $messageSubject='Enquiry from the website';
              $confirmationSubject='Your email to website.com';
              $confirmationBody="Thankyou for your recent email enquiry to website.com.\n\nYour email has been sent and we will get back to you as soon as possible.\n\nThe message you sent was:\n";
              $email='';
              $body='';
              $displayForm=true;
              if ($_POST){
                $email=stripslashes($_POST['email']);
                $body=stripslashes($_POST['body']);
                $name=stripslashes($_POST['name']);
                $phone=stripslashes($_POST['phone']);
                // validate e-mail address
                $valid=eregi('^([0-9a-z]+[-._+&])*[0-9a-z]+@([-0-9a-z]+[.])+[a-z]{2,6}$',$email);
                $crack=eregi("(\r|\n)(to:|from:|cc:|bcc:)",$body);
                $spam=eregi("http",$body);
                $businessBody = "Enquiry from: $name\nEmail: $email\nPhone: $phone\n\nMessage:\n$body";
                if ($email && $body && $phone && $name && $valid && !$crack & !$spam){
                    if (mail($to,$messageSubject,$businessBody,'From: '.$email."\r\n") && mail($email,$confirmationSubject,$confirmationBody.$body,'From: '.$to."\r\n")){
                        $displayForm=false;
                        echo "<div><p>Your message to us was sent successfully, and a confirmation copy has also been sent to your e-mail address.</p><p>Your message was:<br>".htmlspecialchars($body)."</p></div>";
                    }
                    else echo '<div class="emailMessage"><p>Something went wrong when the server tried to send your message. This might be due to a server error, and is probably not your fault. We apologise for any inconvenience caused. You are welcome to telephone us on 01383 625110</p></div>'; // the messages could not be sent
                }
                else if ($crack) echo '<div class="emailMessage"><p>Your message contained e-mail headers within the message body. This seems to be a cracking attempt and the message has not been sent.</p></div>'; // cracking attempt
                else if ($spam) echo '<div class="emailMessage"><p>Your message contained characters that our system has flagged as spam email and has not been sent.</p></div>'; // spam mail!
                else echo '<div class="emailMessage"><p>Your message could not be sent. You must complete all fields - name, phone number, e-mail address and a message.</p></div>'; // form not complete
                }

任何人都可以看到这种形式可以被滥用的方式吗?

编辑

事实证明,有人在为群发邮件构建的服务器上放置了另一个加密文件,所以它实际上并不是来自这种形式。无论如何感谢您的答案,他们可能会帮助其他人!

4

3 回答 3

5

使用像SwiftMailer这样的适当的邮件类,你会遇到更少的麻烦(和更好看的代码,也是)。通常,通过在“from”或其他标题中添加换行符来滥用这些形式,从而允许它们设置自己的恶意标题。

例如:

if (mail($to,$messageSubject,$businessBody,'From: '.$email."\r\n") && mail($email,$confirmationSubject,$confirmationBody.$body,'From: '.$to."\r\n")){

虽然你已经剥离了斜线,但你并没有剥离新的线条。如果我将我的电子邮件设置为:

ceejayoz@example.com
Bcc: victim@example.com

受害者@example.com 在电子邮件中被密件抄送。通过一些更聪明的东西——把它变成一个多部分的电子邮件并添加一个额外的默认部分——他们可以完全自定义电子邮件。

于 2012-09-05T20:09:01.587 回答
0

如果 $_POST['email'] 是,则可以批量发送:

usera@test.com,userb@test.com,userc@test.com
于 2012-09-05T20:12:12.320 回答
0

@ceejayoz 的回答很好,虽然我看到您试图在代码中防止密件抄送和换行符,但仅限于电子邮件正文,而不是电子邮件字段。这是最容易受到黑客攻击的电子邮件字段。

这是我多年来用来保护电子邮件字段的一些代码:

 $value = "some@email.com";
    if (!preg_match("/^[a-z0-9!#$%&'*+\/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+\/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?$/i", $value)){
         $error[$i] = "Invalid email address.";
    }
        //Nuke email header injection.
        $submitted = $value;
        $value = str_replace('\\r', '\n', $value);
        $value = str_replace('\\n', '\n', $value);
        $value = str_replace('\r', '\n', $value);
        $value = str_replace(',', '\n', $value);
        $value = str_replace(';', '\n', $value);
        $value = str_replace(' ', '\n', $value);
        $value = explode('\n', $value);
        $value = $value[0];
        if (trim($value) !== trim($submitted)) {
            echo "Stop hacking me!";
        }
    }

或者使用其他人的课程,正如 ceejayoz 所说。

此外,请考虑使用验证码和其他方式,或限制每分钟提交次数,作为为代码添加多级防御的另一种方式。

于 2012-09-05T20:25:21.907 回答