Mißbrauchmöglichkeiten bei Scripten mit E-Mail-Bestätigung ...

[Wolfgagn Uhr]

Guten Tag

Also ich habe mal folgende theoretische Konstruktuion. Jemand füllt irgendwo ein Kontaktforumular aus und bekommt eine Bestätigungsmail an SEINE-E-Mail-Adresse, die er selbst in das Kontaktformular eingegeben hat. - Sozusagen als Bestätigung.

So weit so gut.

Nun kommt irgend ein Script-Kiddi an, füllt mit einer falschen Adresse dieses Formular aus. Er schreibt irgend einen Unfug rein und führt den ensprechenden Seitenaufruf 100 mal aus.

Dann werden 100 Aufrufe an irgend jemanden geschickt dessen Adresse da eingetzt wurde.

Ist das etwas worüber man sich Sorgen machen muss, oder kann man das vergessen?

Gruß
Wolfgang

[Corvin]

Naja... man kann sich es auch einfacher machen... 5 Zeilen PHP-Code reichen schon aus um einen "Mail-Bomber" zu schreiben, der in ein paar Minuten ein paar tausend Mails an eine Email Adresse schickt.

Zitat:

Ist das etwas worüber man sich Sorgen machen muss, oder kann man das vergessen?

Alle Mails markieren (das geschieht in 1-2 Sekunden) und dann löschen klicken (1 Sekunde). Fazit: Nein, da muss man sich keine Sorgen machen ;)

[Wolfgagn Uhr]

Danke das stimmt auch wieder. ...

Wolfgang

[xabbuh]

Du kannst natürlich auch beim Abschicken die E-Mailadresse mit der aktuellen Zeit speichern und beim nächsten Versand überprüfen, ob an die Mail in den (zum Beispiel) letzten 24 Stunden gesendet wurde.

[kitanai]

Auch ich habe ein Mailformular zum versenden von Anfragen. Man geht auf kontakt.php und bekommt was nettes zum Ausfüllen. Beim Absenden wird action="/kontakt.php" wieder aufgerufen, die Daten validiert und dann per Mail verschickt.

Sicher ist ein Mißbrauch recht unwahrscheinlich, aber was MÜSSTE ich tun, um es dennoch abzusichern?

Habe HTTP_REFERRER benutzt, aber das klappt ja leider nicht immer, und dann ist es für den User ärgerlich:

PHP-Code:

$vars["ref"] = explode("/", substr(getenv("HTTP_REFERER"), 7));
if($vars["ref"][0] != getenv("HTTP_HOST")) {
    echo "<p><strong>Bad request!</strong></p>";
} else ... 


Was kann man da machen???

[xabbuh]

Um abzusichern, dass das Formular tatsächlich nur von deiner Seite aus abgeschickt wird, könntest du beim Aufrufen des Formulars einen bestimmten Wert in einer Session abspeichern und vor der Verarbeitung des Formulars auf diesen überprüfen.

[kitanai]

Hm, ok. Problem ist nur, dass diese Seite ja auch wieder aufgerufen wird, um zu verschicken.

Verstehe ich das richtig:

- Beim ersten Aufruf Session starten und Wert setzen
- Beim Abschicken testen, ob Session und Wert existieren, beim erfolgreichen Versenden Session killen

Bin nur gerade etwas verwirrt, wie ich darauf teste, ob der Seitenaufruf jetzt das erste Mal geschieht, oder ob es schon das Absenden ist...

[Jürg]

Ich mache es so:
Das Formular wird ausgefüllt und wenn alle PHP-Prüfungen erfolgreich sind abgesendet und das Formular geleert.
So müsste also das Formular immer erneut richtig ausgefüllt werden. Das bremst das Versenden massiv.
PS: Eine Zeitsperre würde ich nicht machen, denn zu oft werden Formulare nicht richtig ausgefüllt und nochmals, nun oft richtiger, versendet.
Ein Beispiel unter: Feedback

[kitanai]

Ok, klingt gut. So ähnlich mache ich das auch schon. Habe aber zwei Fragen dazu:

1) selbst wenn alle Feldvariablen durch das Skript geleerte werden: wenn ich im Browser nach erfolgreichem Versand der Mail auf Reload klicke, dann schickt er doch alle Daten noch einmal und die Mail wird ein zweites/drittes/... mal versandt, oder?

2) wird hier denn verhindert, dass ich von einer anderen Seite oder über ein Skript Daten, die das Formular imitieren, schicken kann?

Danke für die Hilfe!

[xabbuh]

Leite einfach dem Verarbeiten des Formulars mit header() zum Formular weiter:

PHP-Code:

<?php
    header('Location: formular.php');
?>

Zitat:

2) wird hier denn verhindert, dass ich von einer anderen Seite oder über ein Skript Daten, die das Formular imitieren, schicken kann?

Das kannst du damit nicht verhindern. Dafür bräuchtest du eine Lösung mit zum Beispiel Sessions, wie ich es oben beschrieben habe. Grob gesehen, könnte das so aussehen:

PHP-Code:

<?php
    session_start();
    if(isset($_POST['action']) && $_POST['action'] == 'send' && isset($_SESSION['var']) && $_SESSION['var'] == 'irgendwas') {
        $test = true;
        //  das Formular wurde losgeschickt und kann verarbeitet werden
        //  auf korrekte Eingaben überprüfen, bei falschen Eingaben $test = false setzen

        if($test != false) {
            //  Eintragen
            header('Location: form.php');
        }
    } elseif(!isset($_POST['action']) || $_POST['action'] != 'send' || $test == false) {
        //  Formular zeigen
        $_SESSION['var'] = 'irgendwas';
    }
?>