je m'étais fait il y a un bon moment un petite formulaire en php pour
que des gens puissent me contacter via mon site web.
Il se trouve que ce formulaire est sans arrêt la proie de scripts qui
tentent de faire déborder les données contenus dans le champ "votre
adresse électronique", pour insérer des destinataires autres que ceux
qui sont fixés "en dûr".
En effet, si on ne fait pas gaffe, y mettre quelque chose comme :
mon@adresse.invalide\nCc: adresse@a.spammer.invalid pourrait marcher
en mettant dans l'entête courrier adresse@a.spammer.invalid comme
destinataire.
Donc je suis au courant et j'ai programmé le formulaire en
conséquence, mais...
Du coup, je reçois très fréquemment des courriers électroniques de
test à cause de gens essayant de détourner l'utilisation du
formulaire. Avec des scripts testant automatiquement le formulaire, je
suppose (ils semblent en plus rajouter un champ Bcc pour avoir un
retour sur la possibilité de détourner le formulaire).
Comme j'en ai un peu assez, je me demandais ce qui faisait, dans ce
formulaire, qu'il était la proie de scripts ?
La partie "visible" et "utile" du formulaire est la suivante ;
Le simple fait d'avoir nommé les variables "mailAuthor" et "mailBody"
peut-il suffire à attirer les scripts comme des mouches ? Et à repérer
que c'est spécifiquement dans "mailAuthor" qu'il faut faire déborder
le formulaire ?
Merci pour vos réponses et vos pistes.
C'est plus pour éviter que ces tentatives se répètent sans cesse : la
faille qu'on tente d'exploiter, elle, n'existe pas.
On Mon, 13 Mar 2006 19:04:41 +0000, Patrick Mevzek wrote:
- on peut avoir un + à gauche du @, c'est tout à fait autorisé.
Cf. http://attrition.org/misc/no_plus.html pour l'extrait de la RFC kivabien plus d'autres détails ...
Nicob
F. Senault
Olivier Croquette ecrivait (wrote) :
Patrick Mevzek wrote:
Olivier Miakinen a lancé un thread à ce sujet récemment sur fr.comp.mail.serveurs
Tu aurais un "message-id" plutôt?
Je viens de jeter un coup d'oeil et je ne trouve aucune trace d'un article d'Olivier dans ce groupe...
C'était fcm tout court :
<dtlle2$1bi8$
Fred -- If the Internet is almost democratic anarchy, are Admins the priesthood of a bureaucratic, conformist, psuedo religion, trying to impose their will on people who would rather be getting drunk and laid and doing things randomly? (Chris Hacking in the SDM)
Olivier Croquette ecrivait (wrote) :
Patrick Mevzek wrote:
Olivier Miakinen a lancé un thread à ce sujet récemment sur
fr.comp.mail.serveurs
Tu aurais un "message-id" plutôt?
Je viens de jeter un coup d'oeil et je ne trouve aucune trace d'un
article d'Olivier dans ce groupe...
C'était fcm tout court :
<dtlle2$1bi8$1@cabale.usenet-fr.net>
Fred
--
If the Internet is almost democratic anarchy, are Admins the priesthood
of a bureaucratic, conformist, psuedo religion, trying to impose their
will on people who would rather be getting drunk and laid and doing
things randomly? (Chris Hacking in the SDM)
Olivier Miakinen a lancé un thread à ce sujet récemment sur fr.comp.mail.serveurs
Tu aurais un "message-id" plutôt?
Je viens de jeter un coup d'oeil et je ne trouve aucune trace d'un article d'Olivier dans ce groupe...
C'était fcm tout court :
<dtlle2$1bi8$
Fred -- If the Internet is almost democratic anarchy, are Admins the priesthood of a bureaucratic, conformist, psuedo religion, trying to impose their will on people who would rather be getting drunk and laid and doing things randomly? (Chris Hacking in the SDM)
Patrick Mevzek
(je me permets de ne pas respecter le reply-to)
- on peut avoir un + à gauche du @, c'est tout à fait autorisé.
Cf. http://attrition.org/misc/no_plus.html pour l'extrait de la RFC kivabien plus d'autres détails ...
Ca serait bien que les MTA/MDA permettent d'ailleurs de choisir autre chose que + (style _ ou .) pour ce cas de figure. Le + est particulièrement mal aimé pour le web, car c'est un codage de l'espace, redondant avec %20 d'ailleurs (probablement une scorie des premiers moteurs de recherche)
Et moi aussi je peste violemment contre tous les sites webs qui ont des règles de validation email farfelues, étant grand utilisateur du + D'ailleurs, quand je peux faire autrement, si mon email plussée est refusée je vais voir ailleurs.
Pour revenir en charte cela illustre bien que les changements de contexte sont sources de nombreux problèmes, tant failles de sécurité, que incompréhension débouchant sur des mises en oeuvre incorrectes.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
(je me permets de ne pas respecter le reply-to)
- on peut avoir un + à gauche du @, c'est tout à fait autorisé.
Cf. http://attrition.org/misc/no_plus.html pour l'extrait de la RFC
kivabien plus d'autres détails ...
Ca serait bien que les MTA/MDA permettent d'ailleurs de choisir autre
chose que + (style _ ou .) pour ce cas de figure. Le + est
particulièrement mal aimé pour le web, car c'est un codage de l'espace,
redondant avec %20 d'ailleurs (probablement une scorie des premiers
moteurs de recherche)
Et moi aussi je peste violemment contre tous les sites webs qui ont des
règles de validation email farfelues, étant grand utilisateur du +
D'ailleurs, quand je peux faire autrement, si mon email plussée est
refusée je vais voir ailleurs.
Pour revenir en charte cela illustre bien que les changements de contexte
sont sources de nombreux problèmes, tant failles de sécurité, que
incompréhension débouchant sur des mises en oeuvre incorrectes.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
- on peut avoir un + à gauche du @, c'est tout à fait autorisé.
Cf. http://attrition.org/misc/no_plus.html pour l'extrait de la RFC kivabien plus d'autres détails ...
Ca serait bien que les MTA/MDA permettent d'ailleurs de choisir autre chose que + (style _ ou .) pour ce cas de figure. Le + est particulièrement mal aimé pour le web, car c'est un codage de l'espace, redondant avec %20 d'ailleurs (probablement une scorie des premiers moteurs de recherche)
Et moi aussi je peste violemment contre tous les sites webs qui ont des règles de validation email farfelues, étant grand utilisateur du + D'ailleurs, quand je peux faire autrement, si mon email plussée est refusée je vais voir ailleurs.
Pour revenir en charte cela illustre bien que les changements de contexte sont sources de nombreux problèmes, tant failles de sécurité, que incompréhension débouchant sur des mises en oeuvre incorrectes.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Olivier Miakinen a lancé un thread à ce sujet récemment sur fr.comp.mail.serveurs
Tu aurais un "message-id" plutôt?
Je viens de jeter un coup d'oeil et je ne trouve aucune trace d'un article d'Olivier dans ce groupe...
C'était fcm tout court :
<dtlle2$1bi8$
Pour être précis, c'était fcl.php et fc.mail avec suivi sur fc.mail.
Le but était de dépoussiérer un peu ceci : <http://faqfclphp.free.fr/#rub5.3>.
Suite à la discussion, j'ai proposé cela au FAQteur de fclp : <http://www.miakinen.net/tmp/faqfclp2#rub5.3>.
Si la proposition est acceptée, elle viendra tout naturellement remplacer la précédente. Dans un cas comme dans l'autre, la page de mon site disparaîtra, comme tout ce que je mets sous /tmp.
-- Olivier Miakinen Troll du plus sage chez les conviviaux : le nouveau venu, avec son clan, s'infiltre dans les groupes de nouvelles. (3 c.)
Olivier Miakinen a lancé un thread à ce sujet récemment sur
fr.comp.mail.serveurs
Tu aurais un "message-id" plutôt?
Je viens de jeter un coup d'oeil et je ne trouve aucune trace d'un
article d'Olivier dans ce groupe...
C'était fcm tout court :
<dtlle2$1bi8$1@cabale.usenet-fr.net>
Pour être précis, c'était fcl.php et fc.mail avec suivi sur fc.mail.
Le but était de dépoussiérer un peu ceci :
<http://faqfclphp.free.fr/#rub5.3>.
Suite à la discussion, j'ai proposé cela au FAQteur de fclp :
<http://www.miakinen.net/tmp/faqfclp2#rub5.3>.
Si la proposition est acceptée, elle viendra tout naturellement
remplacer la précédente. Dans un cas comme dans l'autre, la page
de mon site disparaîtra, comme tout ce que je mets sous /tmp.
--
Olivier Miakinen
Troll du plus sage chez les conviviaux : le nouveau venu, avec
son clan, s'infiltre dans les groupes de nouvelles. (3 c.)
Olivier Miakinen a lancé un thread à ce sujet récemment sur fr.comp.mail.serveurs
Tu aurais un "message-id" plutôt?
Je viens de jeter un coup d'oeil et je ne trouve aucune trace d'un article d'Olivier dans ce groupe...
C'était fcm tout court :
<dtlle2$1bi8$
Pour être précis, c'était fcl.php et fc.mail avec suivi sur fc.mail.
Le but était de dépoussiérer un peu ceci : <http://faqfclphp.free.fr/#rub5.3>.
Suite à la discussion, j'ai proposé cela au FAQteur de fclp : <http://www.miakinen.net/tmp/faqfclp2#rub5.3>.
Si la proposition est acceptée, elle viendra tout naturellement remplacer la précédente. Dans un cas comme dans l'autre, la page de mon site disparaîtra, comme tout ce que je mets sous /tmp.
-- Olivier Miakinen Troll du plus sage chez les conviviaux : le nouveau venu, avec son clan, s'infiltre dans les groupes de nouvelles. (3 c.)
