hilfdirselbst.ch
Facebook Twitter gamper-media
« « 1 2 » »  
boskop  M  p
Beiträge: 3451
14. Feb 2006, 12:53
Beitrag #1 von 22
Bewertung:
(33344 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Hallo zusammen
als nicht sehr versierter «Programmierer» bzw. Anwender von Formularen lese ich immer wieder über die Missbrauchsgefahr bei ungeschützten Web-Formularen.
Um welche Art Formulare geht es konkret?
Sind gewöhnliche Formular (HTML) auch betroffen?
Wo finde ich einfach zu verstehende Schutzmechanismen oder Erklärungen?
Vielen Dank für euer feedback!

Herzliche Grüsse
Urs


Member und Premiummember sichern HilfDirSelbst.ch die Zukunft:
http://www.hilfdirselbst.ch/info/
MacBook 15" Retina 2.5GHz Intel Core i7, 16GBRAM, OSX 10.9.5, Adobe CC Top
 
X
Pozor  M 
Beiträge: 892
14. Feb 2006, 12:59
Beitrag #2 von 22
Beitrag ID: #211510
Bewertung:
(32652 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Hallo,

in PHP gibt es die mail() Funktion, die leider sehr oft misbraucht wird, dies ist
aber mit wenig aufwand zu beheben.
-> niemlas dem Input trauen und Ihn immer überprüfen
hier ein artikel über email injection


Gruss Stefan


"KISS - KEEP IT SIMPLE, STUPID"
PHP Documentation Download
als Antwort auf: [#211507] Top
 
r a c
Beiträge: 955
14. Feb 2006, 14:41
Beitrag #3 von 22
Beitrag ID: #211549
Bewertung:
(32642 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Hallo boskop,

Antwort auf: ...
Sind gewöhnliche Formular (HTML) auch betroffen?
...


Das Formular sendet die Daten an ein CGI (sei das nun Perl, oder PHP oder was auch immer). Die Gefährdung liegt also da und nicht im Formular.

Fehler, wie sie vor Jahren noch ab und an vorkamen:

1. Kombination: Formular mit versteckter Adresse (Beispiel: <input type="hidden" name="mail-irgendwas" value="info@beispiel.org">) und ein CGI, dass diese Adresse auswertet und für den Mailversand verwendet.
Auf den ersten Blick sicher, weil das Formular ja nicht geändert werden kann. Aber, man könnte irgendwo ein beliebiges Formular erstellen, dass seine Daten an das selbe CGI schickt (mit Beispiel:<form action="http://www.beispiel.org/forms.pl" method="post" enctype="multipart/form-data">).
= Das ist natürlich schlecht.
- Abhilfe: Das CGI sollte prüfen, ob die Daten auch vom
eigenen Formular kommen.

2. Jemand könnte durch ein Eingabefeld Code einschmuggeln.
= Das ist natürlich schlecht.
- Abhilfe: Das CGI sollte prüfen, ob die Daten keine Sonderzeichen ($ etc.) enthalten.

Bei neuen CGI's sollte das alles (und noch viel mehr) berücksichtigt sein. Bei einem 5 Jahre alten Script vielleicht nicht.Wink

Grüsse r a c
als Antwort auf: [#211507]
(Dieser Beitrag wurde von r a c am 14. Feb 2006, 14:57 geändert)
Top
 
boskop  M  p
Beiträge: 3451
15. Feb 2006, 06:59
Beitrag #4 von 22
Beitrag ID: #211688
Bewertung:
(32624 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Hallo rac
in einer site verwende ich ein mailer.asp meines providers, das aus dem Jahr 2001 stammt:
<%
For i=1 To request.querystring.count
if not left(request.querystring.key(i),1) = "_" then Daten = Daten & request.querystring.key(i) & ": " & request.querystring.item(i) & vbCrLf
Next
' Lade Die Vorlage von der Harddisk
Set FileStreamObject = CreateObject("Scripting.FileSystemObject")
Set ReadStream = FileStreamObject.OpenTextFile (Server.MapPath("/webscripts/vorlage.txt"),1)
Vorlage = ReadStream.ReadAll
Set FileStreamObject = Nothing
Set ReadStream = Nothing

' Ersetze die Platzhalter

Vorlage = replace(Vorlage,"<!!DATEN!!>",Daten)
Vorlage = replace(Vorlage,"<!!IP!!>",Request.ServerVariables("REMOTE_ADDR"))
Vorlage = replace(Vorlage,"<!!DATE!!>",date)
Vorlage = replace(Vorlage,"<!!TIME!!>",time)

' Sende das Mail
Set Mail = Server.CreateObject("Persits.MailSender")
Mail.Host = request.querystring("_Host")
Mail.From = request.querystring("_MailFrom")
Mail.FromName = request.querystring("_MailFromName")
Mail.Subject = request.querystring("_MailSubject")
Mail.AddAddress request.querystring("_EMail")
Mail.Body = Vorlage
On Error Resume Next
Mail.Send
If Err = 0 Then
Response.redirect request.querystring("_DankePage")
else
Response.redirect request.querystring("_FehlerPage")
End If
%>

Ich denke, dieses prüft gar nichts. Ich frage mich, ob es schon helfen würde, alles was in versteckten Feldern des Forms übermittelt wird gleich ins ASP-File zu integrieren (fragt sich dann nur, wie).

Herzliche Grüsse
Urs


Member und Premiummember sichern HilfDirSelbst.ch die Zukunft:
http://www.hilfdirselbst.ch/info/
MacBook 15" Retina 2.5GHz Intel Core i7, 16GBRAM, OSX 10.9.5, Adobe CC
als Antwort auf: [#211549] Top
 
r a c
Beiträge: 955
15. Feb 2006, 12:43
Beitrag #5 von 22
Beitrag ID: #211772
Bewertung:
(32608 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Antwort auf: ...
Ich denke, dieses prüft gar nichts. Ich frage mich, ob es schon helfen würde, alles was in versteckten Feldern des Forms übermittelt wird gleich ins ASP-File zu integrieren (fragt sich dann nur, wie).


Von Scripten selbst verstehe ich leider viel zu wenig. Frown

Ich bin so vorgegangen:

• Ein Script von xwolf. Der macht sich Gedanken zur Sicherheit und es ist nicht allzu verbreitet (verbreitetes Script = lohnenswertes Ziel!).
http://cgi.xwolf.de/cgi/allform.shtml

• Mit Hilfe des Perlforums habe ich das Script angepasst. Genau deine Überlegung: lieber was im Script festlegen, als im Formular. Sabine hat da sehr geholfen. Smile
http://www.hilfdirselbst.ch/...gforum.cgi?forum=18;

• Dann noch dem Script noch einen neuen Namen gegeben (hilft gegen ein besonders plumpes Ausprobieren von häufigen Pfaden, wie: beispiel.org/cgi-bin/FormMail.pl und ähnliche.)

Und alles zusammen hilft bis heute ganz gut.

Grüsse r a c
als Antwort auf: [#211688] Top
 
Annubis S
Beiträge: 419
28. Feb 2006, 13:27
Beitrag #6 von 22
Beitrag ID: #214343
Bewertung:
(32532 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


viele webseiten haben seit einiger zeit die tendenz captcha einzubauen.

ich selbst habe so ein kleines teil mal nebenbei programmiert und setze es immer wieder gerne ein wo es inet user gibt die alle validierungsversuche zum trotz sich nen spass draus machen diese sicherungen zu umgehen. ich bin froh für diese captcha erfindung *g* und bin ebenfalls tierisch froh das es noch keine wirklichen umgehungsmethoden gibt diese auszutricksen. das erleichtert uns webentwickler das leben gewaltig.


MfG Eric
http://www.1grad.ch: 1Grad - Online Marketing Agentur
http://www.haar-welt.ch: Schweizer Coiffeurvergleich's Portal
http://www.messe-kalender.ch: Der Messekalender der Schweiz
als Antwort auf: [#211772] Top
 
r a c
Beiträge: 955
1. Mär 2006, 15:08
Beitrag #7 von 22
Beitrag ID: #214697
Bewertung:
(32497 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Hallo,

Captcha sind mir schon begegnet, kannte ich aber als Befriff noch nicht.
So habe ich das gefunden: Wikipedia
Aber auch das: Solving and creating captchas with free porn

Nun, was soll man dazu sagen?

Grüsse r a c
als Antwort auf: [#214343]
(Dieser Beitrag wurde von r a c am 1. Mär 2006, 15:09 geändert)
Top
 
Annubis S
Beiträge: 419
1. Mär 2006, 17:03
Beitrag #8 von 22
Beitrag ID: #214737
Bewertung:
(32477 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


joa wiki hat da ein guten text über captcha's.

naja man muss zZ keine angst haben. ein sauber codiertes script is zZ nicht per computer knackbar. solange wir noch keine besseren OCR (texterkennungssoftware) haben wirds auch "unknackbar" bleiben.

ausser man benützt ein dämliches script das zb die angezeigten zahlen so abspeichert wie sie heissen also Zahl 1234 heisst dann 1234.jpg oder Te09 wird Te09.jpg... aber das sieht man selten.

man muss nur jetzt überlegen ob man überall solche kontrollen einbauen will oder ob das dann übertrieben wäre.


MfG Eric
http://www.1grad.ch: 1Grad - Online Marketing Agentur
http://www.haar-welt.ch: Schweizer Coiffeurvergleich's Portal
http://www.messe-kalender.ch: Der Messekalender der Schweiz
als Antwort auf: [#214697] Top
 
SabineP  M 
Beiträge: 7586
2. Mär 2006, 08:20
Beitrag #9 von 22
Beitrag ID: #214850
Bewertung:
(32464 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Hi Annubis,

selbstverständlich kann man Captchas automatisch auslesen.
Schau Dir die Links in diesem Beitrag an:
http://www.hilfdirselbst.ch/..._P211028.html#211028

Gruß Sabine
als Antwort auf: [#214737] Top
 
Annubis S
Beiträge: 419
2. Mär 2006, 09:34
Beitrag #10 von 22
Beitrag ID: #214865
Bewertung:
(32452 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Hi Sabine.

das stimmt nur bedingt. wie ich oben schon sagte bei den standartcaptchas die es im netz zZ zu hunderte zum downloaden gibt kann man es knacken das stimmt. aber wenn man es selber macht is die wahrscheinlichkeit viel geringer.
und 100% sicherheit gibts NIE aber für standartuser is dann die sicherheit ausreichend.


MfG Eric
http://www.1grad.ch: 1Grad - Online Marketing Agentur
http://www.haar-welt.ch: Schweizer Coiffeurvergleich's Portal
http://www.messe-kalender.ch: Der Messekalender der Schweiz
als Antwort auf: [#214850] Top
 
oesi50  A  S
Beiträge: 2315
2. Mär 2006, 18:29
Beitrag #11 von 22
Beitrag ID: #215027
Bewertung:
(32431 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Antwort auf: solange wir noch keine besseren OCR (texterkennungssoftware) haben wirds auch "unknackbar" bleiben.


haben wir doch, und sogar die allerbesten.

Hier wird beschrieben, wie es funktioniert:

http://www.boingboing.net/...ng_and_creating.html

Kurze Zusammenfassung des o.a. Artikels:

Man baut eine freie(kostenlose) P0rn0-Seite. Als Bestätigung zur Betrachtung der "Kunstwerke" bindet man das zu lösende CAPTCHA ein. Voilà tout! Der beste aller OCR-Erkenner löst die Aufgabe und das Spammer-Script kann munter loswackeln.

Der Character der Kunstwerke stellt auch sicher, daß genügend OCR-Erkenner in kurzer Zeit
tätig werden.


Gerade eben muss ich feststellen, daß rac dieses Verfahren auch schon gepostet hat.
http://www.hilfdirselbst.ch/..._P214697.html#214697


Grüße Oesi
Ich weiß, dass ich nicht weiß... (Sokrates)
als Antwort auf: [#214737]
(Dieser Beitrag wurde von oesi50 am 2. Mär 2006, 18:32 geändert)
Top
 
r a c
Beiträge: 955
2. Mär 2006, 19:42
Beitrag #12 von 22
Beitrag ID: #215040
Bewertung:
(32424 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Hallo

Antwort auf [ oesi50 ] ...
Gerade eben muss ich feststellen, daß rac dieses Verfahren auch schon gepostet hat.
http://www.hilfdirselbst.ch/..._P214697.html#214697


bevor mich hier oesi noch zum P0rn0*-Experten macht, möchte ich darauf hinweisen, dass ich diesen Link aus dem Artikel von Wikipedia habe.

Ich habe ihn speziel herausgestrichen, weil der Ansatz so verblüfend ist (und technisch ein GAU, da man zwischen Menschen und Menschen nicht unterscheiden kann).

Grüsse r a c

*Schreibweise, damit wir unter diesem Stichwort nicht bei Google sind Wink
als Antwort auf: [#215027] Top
 
Peter Samuel
Beiträge: 15
3. Mär 2006, 11:49
Beitrag #13 von 22
Beitrag ID: #215149
Bewertung:
(32402 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


mein problem geht wohl in diese richtung: mein foto-weblog http://psjfoto.ch/mt/
wird seit kurzem regelmässig von spam-attaken heimgesucht. innert 5 minuten 20 spammails, dann ist ruhe, am nächsten tag geht's von vorne los. die mails landen in den formularen, die zum kommentieren meiner beiträge vorgesehen sind. frage mich, ob die jemand manuell eingibt oder ob es sich um einen automatisierten vorgang handelt (wie kommen die zur adresse??). glücklicherweise kann ich die einträge vor freischaltung kontrollieren und löschen, trotzdem lästig.
__________________
http://www.psjfoto.ch
als Antwort auf: [#211507] Top
 
jrandi
Beiträge: 791
3. Mär 2006, 14:38
Beitrag #14 von 22
Beitrag ID: #215223
Bewertung:
(32390 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Hallo

Unser Formular wurde soeben für Spam benutzt, irgendwo haben Sie MIME-Version 1.0 eingeschläust und via BCC jemanden belästigt. . .

Wollte mal nachfragen, ob nachfolgender PHP-Code ausreicht um dies definitif zu stoppen ?

$societe = preg_replace( "/[^a-z0-9 !?:;,.\/_\-=+@#$&\*\(\)]/im", "", $_POST['societe'] );
$societe = preg_replace( "/(content-type:|bcc:|cc:|to:|from:)/im", "", $societe);
//dies natürlich in allen feldern

Oder muss ich da noch härteres Geschütz auffahren ?

Besten Dank für tipps und tricks
jurg
als Antwort auf: [#215149] Top
 
SabineP  M 
Beiträge: 7586
3. Mär 2006, 14:45
Beitrag #15 von 22
Beitrag ID: #215224
Bewertung:
(32388 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Gefährliche Formulare


Hi Peter,

Movable Type verfügt über sehr gute Spamfilter
(Keywordfilter, URL-Filter, automatische Prüfung der sogenannten Blacklisten).

Man kann auch in der mt-config.cgi
den Zeitabstand zwischen zwei Kommentaren einstellen.

Das dürfte Dein Blog gut vor Spam-Angriffen schützen.

Grüße von Sabine
als Antwort auf: [#215149] Top
 
« « 1 2 » »  
X