我今天联系了有关从域发送的大量垃圾邮件。 这是一个相对简单的php网站,其中包含姓名,电子邮件,电话和消息的联系表格。除非整个服务器都被黑客攻击,否则我看不到网站可以用来向多个用户发送垃圾邮件的任何其他方式。
电子邮件已经过验证,错误的字符会从邮件正文中删除。我已经尝试了多种方法来尝试通过表单来修改标题,但似乎无法使用任何东西,所以我开始认为表单是安全的。
这是表单验证:
$to='owner@website.com';
$messageSubject='Enquiry from the website';
$confirmationSubject='Your email to website.com';
$confirmationBody="Thankyou for your recent email enquiry to website.com.\n\nYour email has been sent and we will get back to you as soon as possible.\n\nThe message you sent was:\n";
$email='';
$body='';
$displayForm=true;
if ($_POST){
$email=stripslashes($_POST['email']);
$body=stripslashes($_POST['body']);
$name=stripslashes($_POST['name']);
$phone=stripslashes($_POST['phone']);
// validate e-mail address
$valid=eregi('^([0-9a-z]+[-._+&])*[0-9a-z]+@([-0-9a-z]+[.])+[a-z]{2,6}$',$email);
$crack=eregi("(\r|\n)(to:|from:|cc:|bcc:)",$body);
$spam=eregi("http",$body);
$businessBody = "Enquiry from: $name\nEmail: $email\nPhone: $phone\n\nMessage:\n$body";
if ($email && $body && $phone && $name && $valid && !$crack & !$spam){
if (mail($to,$messageSubject,$businessBody,'From: '.$email."\r\n") && mail($email,$confirmationSubject,$confirmationBody.$body,'From: '.$to."\r\n")){
$displayForm=false;
echo "<div><p>Your message to us was sent successfully, and a confirmation copy has also been sent to your e-mail address.</p><p>Your message was:<br>".htmlspecialchars($body)."</p></div>";
}
else echo '<div class="emailMessage"><p>Something went wrong when the server tried to send your message. This might be due to a server error, and is probably not your fault. We apologise for any inconvenience caused. You are welcome to telephone us on 01383 625110</p></div>'; // the messages could not be sent
}
else if ($crack) echo '<div class="emailMessage"><p>Your message contained e-mail headers within the message body. This seems to be a cracking attempt and the message has not been sent.</p></div>'; // cracking attempt
else if ($spam) echo '<div class="emailMessage"><p>Your message contained characters that our system has flagged as spam email and has not been sent.</p></div>'; // spam mail!
else echo '<div class="emailMessage"><p>Your message could not be sent. You must complete all fields - name, phone number, e-mail address and a message.</p></div>'; // form not complete
}
任何人都可以看到这种形式被滥用的方式吗?
事实证明有人在为群发邮件构建的服务器上放置了另一个加密文件,因此它实际上并非来自此表单。 无论如何,谢谢你的答案,他们可能会帮助别人!
答案 0 :(得分:4)
使用正确的邮件类,例如SwiftMailer,您可以减少麻烦(以及更好看的代码)。通常,通过向“from”或其他标头添加换行符来滥用这些类型的表单,允许它们设置自己的恶意标头。
例如:
if (mail($to,$messageSubject,$businessBody,'From: '.$email."\r\n") && mail($email,$confirmationSubject,$confirmationBody.$body,'From: '.$to."\r\n")){
当你剥去斜线时,你没有剥离新的线条。如果我将我的电子邮件设置为:
ceejayoz@example.com
Bcc: victim@example.com
victim@example.com在电子邮件中获得BCC。通过一些更聪明的东西 - 将其转换为多部分电子邮件并添加额外的默认部分 - 他们可以完全自定义电子邮件。
答案 1 :(得分:0)
usera@test.com,userb@test.com,userc@test.com
答案 2 :(得分:0)
@ ceejayoz的答案很好,虽然我发现你试图阻止你的代码中的bcc和换行符,但只是在电子邮件的正文中,而不是电子邮件字段。这是最易受黑客攻击的电子邮件领域。
以下是我多年来用来保护电子邮件字段的一些代码:
$value = "some@email.com";
if (!preg_match("/^[a-z0-9!#$%&'*+\/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+\/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?$/i", $value)){
$error[$i] = "Invalid email address.";
}
//Nuke email header injection.
$submitted = $value;
$value = str_replace('\\r', '\n', $value);
$value = str_replace('\\n', '\n', $value);
$value = str_replace('\r', '\n', $value);
$value = str_replace(',', '\n', $value);
$value = str_replace(';', '\n', $value);
$value = str_replace(' ', '\n', $value);
$value = explode('\n', $value);
$value = $value[0];
if (trim($value) !== trim($submitted)) {
echo "Stop hacking me!";
}
}
或者使用其他人的课程,正如ceejayoz所说。
另外,请考虑验证密码和其他内容,或限制每分钟提交,作为为代码添加多级防御的另一种方法。