[GastForen Web allgemein Kampf gegen Spam und Terror im Internet Gefährliche Formulare

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste
Themen
Beiträge
Moderatoren
Letzter Beitrag

Gefährliche Formulare

boskop
Beiträge gesamt: 3465

14. Feb 2006, 12:53
Beitrag # 1 von 22
Bewertung:
(85645 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo zusammen
als nicht sehr versierter «Programmierer» bzw. Anwender von Formularen lese ich immer wieder über die Missbrauchsgefahr bei ungeschützten Web-Formularen.
Um welche Art Formulare geht es konkret?
Sind gewöhnliche Formular (HTML) auch betroffen?
Wo finde ich einfach zu verstehende Schutzmechanismen oder Erklärungen?
Vielen Dank für euer feedback!
X

Gefährliche Formulare

Pozor
Beiträge gesamt: 892

14. Feb 2006, 12:59
Beitrag # 2 von 22
Beitrag ID: #211510
Bewertung:
(84953 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo,

in PHP gibt es die mail() Funktion, die leider sehr oft misbraucht wird, dies ist
aber mit wenig aufwand zu beheben.
-> niemlas dem Input trauen und Ihn immer überprüfen
hier ein artikel über email injection


als Antwort auf: [#211507]

Gefährliche Formulare

r a c
Beiträge gesamt: 955

14. Feb 2006, 14:41
Beitrag # 3 von 22
Beitrag ID: #211549
Bewertung:
(84943 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo boskop,

Antwort auf: ...
Sind gewöhnliche Formular (HTML) auch betroffen?
...


Das Formular sendet die Daten an ein CGI (sei das nun Perl, oder PHP oder was auch immer). Die Gefährdung liegt also da und nicht im Formular.

Fehler, wie sie vor Jahren noch ab und an vorkamen:

1. Kombination: Formular mit versteckter Adresse (Beispiel: <input type="hidden" name="mail-irgendwas" value="info@beispiel.org">) und ein CGI, dass diese Adresse auswertet und für den Mailversand verwendet.
Auf den ersten Blick sicher, weil das Formular ja nicht geändert werden kann. Aber, man könnte irgendwo ein beliebiges Formular erstellen, dass seine Daten an das selbe CGI schickt (mit Beispiel:<form action="http://www.beispiel.org/forms.pl" method="post" enctype="multipart/form-data">).
= Das ist natürlich schlecht.
- Abhilfe: Das CGI sollte prüfen, ob die Daten auch vom
eigenen Formular kommen.

2. Jemand könnte durch ein Eingabefeld Code einschmuggeln.
= Das ist natürlich schlecht.
- Abhilfe: Das CGI sollte prüfen, ob die Daten keine Sonderzeichen ($ etc.) enthalten.

Bei neuen CGI's sollte das alles (und noch viel mehr) berücksichtigt sein. Bei einem 5 Jahre alten Script vielleicht nicht.Wink

Grüsse r a c


als Antwort auf: [#211507]
(Dieser Beitrag wurde von r a c am 14. Feb 2006, 14:57 geändert)

Gefährliche Formulare

boskop
Beiträge gesamt: 3465

15. Feb 2006, 06:59
Beitrag # 4 von 22
Beitrag ID: #211688
Bewertung:
(84925 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo rac
in einer site verwende ich ein mailer.asp meines providers, das aus dem Jahr 2001 stammt:
<%
For i=1 To request.querystring.count
if not left(request.querystring.key(i),1) = "_" then Daten = Daten & request.querystring.key(i) & ": " & request.querystring.item(i) & vbCrLf
Next
' Lade Die Vorlage von der Harddisk
Set FileStreamObject = CreateObject("Scripting.FileSystemObject")
Set ReadStream = FileStreamObject.OpenTextFile (Server.MapPath("/webscripts/vorlage.txt"),1)
Vorlage = ReadStream.ReadAll
Set FileStreamObject = Nothing
Set ReadStream = Nothing

' Ersetze die Platzhalter

Vorlage = replace(Vorlage,"<!!DATEN!!>",Daten)
Vorlage = replace(Vorlage,"<!!IP!!>",Request.ServerVariables("REMOTE_ADDR"))
Vorlage = replace(Vorlage,"<!!DATE!!>",date)
Vorlage = replace(Vorlage,"<!!TIME!!>",time)

' Sende das Mail
Set Mail = Server.CreateObject("Persits.MailSender")
Mail.Host = request.querystring("_Host")
Mail.From = request.querystring("_MailFrom")
Mail.FromName = request.querystring("_MailFromName")
Mail.Subject = request.querystring("_MailSubject")
Mail.AddAddress request.querystring("_EMail")
Mail.Body = Vorlage
On Error Resume Next
Mail.Send
If Err = 0 Then
Response.redirect request.querystring("_DankePage")
else
Response.redirect request.querystring("_FehlerPage")
End If
%>

Ich denke, dieses prüft gar nichts. Ich frage mich, ob es schon helfen würde, alles was in versteckten Feldern des Forms übermittelt wird gleich ins ASP-File zu integrieren (fragt sich dann nur, wie).


als Antwort auf: [#211549]

Gefährliche Formulare

r a c
Beiträge gesamt: 955

15. Feb 2006, 12:43
Beitrag # 5 von 22
Beitrag ID: #211772
Bewertung:
(84909 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Antwort auf: ...
Ich denke, dieses prüft gar nichts. Ich frage mich, ob es schon helfen würde, alles was in versteckten Feldern des Forms übermittelt wird gleich ins ASP-File zu integrieren (fragt sich dann nur, wie).


Von Scripten selbst verstehe ich leider viel zu wenig. Frown

Ich bin so vorgegangen:

• Ein Script von xwolf. Der macht sich Gedanken zur Sicherheit und es ist nicht allzu verbreitet (verbreitetes Script = lohnenswertes Ziel!).
http://cgi.xwolf.de/cgi/allform.shtml

• Mit Hilfe des Perlforums habe ich das Script angepasst. Genau deine Überlegung: lieber was im Script festlegen, als im Formular. Sabine hat da sehr geholfen. Smile
http://www.hilfdirselbst.ch/...gforum.cgi?forum=18;

• Dann noch dem Script noch einen neuen Namen gegeben (hilft gegen ein besonders plumpes Ausprobieren von häufigen Pfaden, wie: beispiel.org/cgi-bin/FormMail.pl und ähnliche.)

Und alles zusammen hilft bis heute ganz gut.

Grüsse r a c


als Antwort auf: [#211688]

Gefährliche Formulare

Annubis
Beiträge gesamt: 419

28. Feb 2006, 13:27
Beitrag # 6 von 22
Beitrag ID: #214343
Bewertung:
(84833 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
viele webseiten haben seit einiger zeit die tendenz captcha einzubauen.

ich selbst habe so ein kleines teil mal nebenbei programmiert und setze es immer wieder gerne ein wo es inet user gibt die alle validierungsversuche zum trotz sich nen spass draus machen diese sicherungen zu umgehen. ich bin froh für diese captcha erfindung *g* und bin ebenfalls tierisch froh das es noch keine wirklichen umgehungsmethoden gibt diese auszutricksen. das erleichtert uns webentwickler das leben gewaltig.


als Antwort auf: [#211772]

Gefährliche Formulare

r a c
Beiträge gesamt: 955

1. Mär 2006, 15:08
Beitrag # 7 von 22
Beitrag ID: #214697
Bewertung:
(84798 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo,

Captcha sind mir schon begegnet, kannte ich aber als Befriff noch nicht.
So habe ich das gefunden: Wikipedia
Aber auch das: Solving and creating captchas with free porn

Nun, was soll man dazu sagen?

Grüsse r a c


als Antwort auf: [#214343]
(Dieser Beitrag wurde von r a c am 1. Mär 2006, 15:09 geändert)

Gefährliche Formulare

Annubis
Beiträge gesamt: 419

1. Mär 2006, 17:03
Beitrag # 8 von 22
Beitrag ID: #214737
Bewertung:
(84778 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
joa wiki hat da ein guten text über captcha's.

naja man muss zZ keine angst haben. ein sauber codiertes script is zZ nicht per computer knackbar. solange wir noch keine besseren OCR (texterkennungssoftware) haben wirds auch "unknackbar" bleiben.

ausser man benützt ein dämliches script das zb die angezeigten zahlen so abspeichert wie sie heissen also Zahl 1234 heisst dann 1234.jpg oder Te09 wird Te09.jpg... aber das sieht man selten.

man muss nur jetzt überlegen ob man überall solche kontrollen einbauen will oder ob das dann übertrieben wäre.


als Antwort auf: [#214697]

Gefährliche Formulare

SabineP
Beiträge gesamt: 7586

2. Mär 2006, 08:20
Beitrag # 9 von 22
Beitrag ID: #214850
Bewertung:
(84765 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hi Annubis,

selbstverständlich kann man Captchas automatisch auslesen.
Schau Dir die Links in diesem Beitrag an:
http://www.hilfdirselbst.ch/..._P211028.html#211028

Gruß Sabine


als Antwort auf: [#214737]

Gefährliche Formulare

Annubis
Beiträge gesamt: 419

2. Mär 2006, 09:34
Beitrag # 10 von 22
Beitrag ID: #214865
Bewertung:
(84753 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hi Sabine.

das stimmt nur bedingt. wie ich oben schon sagte bei den standartcaptchas die es im netz zZ zu hunderte zum downloaden gibt kann man es knacken das stimmt. aber wenn man es selber macht is die wahrscheinlichkeit viel geringer.
und 100% sicherheit gibts NIE aber für standartuser is dann die sicherheit ausreichend.


als Antwort auf: [#214850]

Gefährliche Formulare

oesi50
  
Beiträge gesamt: 2315

2. Mär 2006, 18:29
Beitrag # 11 von 22
Beitrag ID: #215027
Bewertung:
(84732 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Antwort auf: solange wir noch keine besseren OCR (texterkennungssoftware) haben wirds auch "unknackbar" bleiben.


haben wir doch, und sogar die allerbesten.

Hier wird beschrieben, wie es funktioniert:

http://www.boingboing.net/...ng_and_creating.html

Kurze Zusammenfassung des o.a. Artikels:

Man baut eine freie(kostenlose) P0rn0-Seite. Als Bestätigung zur Betrachtung der "Kunstwerke" bindet man das zu lösende CAPTCHA ein. Voilà tout! Der beste aller OCR-Erkenner löst die Aufgabe und das Spammer-Script kann munter loswackeln.

Der Character der Kunstwerke stellt auch sicher, daß genügend OCR-Erkenner in kurzer Zeit
tätig werden.


Gerade eben muss ich feststellen, daß rac dieses Verfahren auch schon gepostet hat.
http://www.hilfdirselbst.ch/..._P214697.html#214697


als Antwort auf: [#214737]
(Dieser Beitrag wurde von oesi50 am 2. Mär 2006, 18:32 geändert)

Gefährliche Formulare

r a c
Beiträge gesamt: 955

2. Mär 2006, 19:42
Beitrag # 12 von 22
Beitrag ID: #215040
Bewertung:
(84725 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo

Antwort auf [ oesi50 ] ...
Gerade eben muss ich feststellen, daß rac dieses Verfahren auch schon gepostet hat.
http://www.hilfdirselbst.ch/..._P214697.html#214697


bevor mich hier oesi noch zum P0rn0*-Experten macht, möchte ich darauf hinweisen, dass ich diesen Link aus dem Artikel von Wikipedia habe.

Ich habe ihn speziel herausgestrichen, weil der Ansatz so verblüfend ist (und technisch ein GAU, da man zwischen Menschen und Menschen nicht unterscheiden kann).

Grüsse r a c

*Schreibweise, damit wir unter diesem Stichwort nicht bei Google sind Wink


als Antwort auf: [#215027]

Gefährliche Formulare

Peter Samuel
Beiträge gesamt:

3. Mär 2006, 11:49
Beitrag # 13 von 22
Beitrag ID: #215149
Bewertung:
(84703 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
mein problem geht wohl in diese richtung: mein foto-weblog http://psjfoto.ch/mt/
wird seit kurzem regelmässig von spam-attaken heimgesucht. innert 5 minuten 20 spammails, dann ist ruhe, am nächsten tag geht's von vorne los. die mails landen in den formularen, die zum kommentieren meiner beiträge vorgesehen sind. frage mich, ob die jemand manuell eingibt oder ob es sich um einen automatisierten vorgang handelt (wie kommen die zur adresse??). glücklicherweise kann ich die einträge vor freischaltung kontrollieren und löschen, trotzdem lästig.


als Antwort auf: [#211507]

Gefährliche Formulare

jrandi
Beiträge gesamt: 794

3. Mär 2006, 14:38
Beitrag # 14 von 22
Beitrag ID: #215223
Bewertung:
(84691 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo

Unser Formular wurde soeben für Spam benutzt, irgendwo haben Sie MIME-Version 1.0 eingeschläust und via BCC jemanden belästigt. . .

Wollte mal nachfragen, ob nachfolgender PHP-Code ausreicht um dies definitif zu stoppen ?

$societe = preg_replace( "/[^a-z0-9 !?:;,.\/_\-=+@#$&\*\(\)]/im", "", $_POST['societe'] );
$societe = preg_replace( "/(content-type:|bcc:|cc:|to:|from:)/im", "", $societe);
//dies natürlich in allen feldern

Oder muss ich da noch härteres Geschütz auffahren ?

Besten Dank für tipps und tricks
jurg


als Antwort auf: [#215149]

Gefährliche Formulare

SabineP
Beiträge gesamt: 7586

3. Mär 2006, 14:45
Beitrag # 15 von 22
Beitrag ID: #215224
Bewertung:
(84689 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hi Peter,

Movable Type verfügt über sehr gute Spamfilter
(Keywordfilter, URL-Filter, automatische Prüfung der sogenannten Blacklisten).

Man kann auch in der mt-config.cgi
den Zeitabstand zwischen zwei Kommentaren einstellen.

Das dürfte Dein Blog gut vor Spam-Angriffen schützen.

Grüße von Sabine


als Antwort auf: [#215149]
X