[GastForen Web allgemein Kampf gegen Spam und Terror im Internet Gefährliche Formulare

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste
Themen
Beiträge
Moderatoren
Letzter Beitrag

Gefährliche Formulare

boskop
Beiträge gesamt: 3458

14. Feb 2006, 12:53
Beitrag # 1 von 22
Bewertung:
(73468 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo zusammen
als nicht sehr versierter «Programmierer» bzw. Anwender von Formularen lese ich immer wieder über die Missbrauchsgefahr bei ungeschützten Web-Formularen.
Um welche Art Formulare geht es konkret?
Sind gewöhnliche Formular (HTML) auch betroffen?
Wo finde ich einfach zu verstehende Schutzmechanismen oder Erklärungen?
Vielen Dank für euer feedback!

Herzliche Grüsse
Urs


Member und Premiummember sichern HilfDirSelbst.ch die Zukunft:
http://www.hilfdirselbst.ch/info/
MacBook 15" Retina 2.5GHz Intel Core i7, 16GBRAM, OSX 10.12 Sierra, Adobe CC
X

Gefährliche Formulare

Pozor
Beiträge gesamt: 892

14. Feb 2006, 12:59
Beitrag # 2 von 22
Beitrag ID: #211510
Bewertung:
(72776 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo,

in PHP gibt es die mail() Funktion, die leider sehr oft misbraucht wird, dies ist
aber mit wenig aufwand zu beheben.
-> niemlas dem Input trauen und Ihn immer überprüfen
hier ein artikel über email injection


Gruss Stefan


"KISS - KEEP IT SIMPLE, STUPID"
PHP Documentation Download


als Antwort auf: [#211507]

Gefährliche Formulare

r a c
Beiträge gesamt: 955

14. Feb 2006, 14:41
Beitrag # 3 von 22
Beitrag ID: #211549
Bewertung:
(72766 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo boskop,

Antwort auf: ...
Sind gewöhnliche Formular (HTML) auch betroffen?
...


Das Formular sendet die Daten an ein CGI (sei das nun Perl, oder PHP oder was auch immer). Die Gefährdung liegt also da und nicht im Formular.

Fehler, wie sie vor Jahren noch ab und an vorkamen:

1. Kombination: Formular mit versteckter Adresse (Beispiel: <input type="hidden" name="mail-irgendwas" value="info@beispiel.org">) und ein CGI, dass diese Adresse auswertet und für den Mailversand verwendet.
Auf den ersten Blick sicher, weil das Formular ja nicht geändert werden kann. Aber, man könnte irgendwo ein beliebiges Formular erstellen, dass seine Daten an das selbe CGI schickt (mit Beispiel:<form action="http://www.beispiel.org/forms.pl" method="post" enctype="multipart/form-data">).
= Das ist natürlich schlecht.
- Abhilfe: Das CGI sollte prüfen, ob die Daten auch vom
eigenen Formular kommen.

2. Jemand könnte durch ein Eingabefeld Code einschmuggeln.
= Das ist natürlich schlecht.
- Abhilfe: Das CGI sollte prüfen, ob die Daten keine Sonderzeichen ($ etc.) enthalten.

Bei neuen CGI's sollte das alles (und noch viel mehr) berücksichtigt sein. Bei einem 5 Jahre alten Script vielleicht nicht.Wink

Grüsse r a c


als Antwort auf: [#211507]
(Dieser Beitrag wurde von r a c am 14. Feb 2006, 14:57 geändert)

Gefährliche Formulare

boskop
Beiträge gesamt: 3458

15. Feb 2006, 06:59
Beitrag # 4 von 22
Beitrag ID: #211688
Bewertung:
(72748 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo rac
in einer site verwende ich ein mailer.asp meines providers, das aus dem Jahr 2001 stammt:
<%
For i=1 To request.querystring.count
if not left(request.querystring.key(i),1) = "_" then Daten = Daten & request.querystring.key(i) & ": " & request.querystring.item(i) & vbCrLf
Next
' Lade Die Vorlage von der Harddisk
Set FileStreamObject = CreateObject("Scripting.FileSystemObject")
Set ReadStream = FileStreamObject.OpenTextFile (Server.MapPath("/webscripts/vorlage.txt"),1)
Vorlage = ReadStream.ReadAll
Set FileStreamObject = Nothing
Set ReadStream = Nothing

' Ersetze die Platzhalter

Vorlage = replace(Vorlage,"<!!DATEN!!>",Daten)
Vorlage = replace(Vorlage,"<!!IP!!>",Request.ServerVariables("REMOTE_ADDR"))
Vorlage = replace(Vorlage,"<!!DATE!!>",date)
Vorlage = replace(Vorlage,"<!!TIME!!>",time)

' Sende das Mail
Set Mail = Server.CreateObject("Persits.MailSender")
Mail.Host = request.querystring("_Host")
Mail.From = request.querystring("_MailFrom")
Mail.FromName = request.querystring("_MailFromName")
Mail.Subject = request.querystring("_MailSubject")
Mail.AddAddress request.querystring("_EMail")
Mail.Body = Vorlage
On Error Resume Next
Mail.Send
If Err = 0 Then
Response.redirect request.querystring("_DankePage")
else
Response.redirect request.querystring("_FehlerPage")
End If
%>

Ich denke, dieses prüft gar nichts. Ich frage mich, ob es schon helfen würde, alles was in versteckten Feldern des Forms übermittelt wird gleich ins ASP-File zu integrieren (fragt sich dann nur, wie).

Herzliche Grüsse
Urs


Member und Premiummember sichern HilfDirSelbst.ch die Zukunft:
http://www.hilfdirselbst.ch/info/
MacBook 15" Retina 2.5GHz Intel Core i7, 16GBRAM, OSX 10.12 Sierra, Adobe CC


als Antwort auf: [#211549]

Gefährliche Formulare

r a c
Beiträge gesamt: 955

15. Feb 2006, 12:43
Beitrag # 5 von 22
Beitrag ID: #211772
Bewertung:
(72732 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Antwort auf: ...
Ich denke, dieses prüft gar nichts. Ich frage mich, ob es schon helfen würde, alles was in versteckten Feldern des Forms übermittelt wird gleich ins ASP-File zu integrieren (fragt sich dann nur, wie).


Von Scripten selbst verstehe ich leider viel zu wenig. Frown

Ich bin so vorgegangen:

• Ein Script von xwolf. Der macht sich Gedanken zur Sicherheit und es ist nicht allzu verbreitet (verbreitetes Script = lohnenswertes Ziel!).
http://cgi.xwolf.de/cgi/allform.shtml

• Mit Hilfe des Perlforums habe ich das Script angepasst. Genau deine Überlegung: lieber was im Script festlegen, als im Formular. Sabine hat da sehr geholfen. Smile
http://www.hilfdirselbst.ch/...gforum.cgi?forum=18;

• Dann noch dem Script noch einen neuen Namen gegeben (hilft gegen ein besonders plumpes Ausprobieren von häufigen Pfaden, wie: beispiel.org/cgi-bin/FormMail.pl und ähnliche.)

Und alles zusammen hilft bis heute ganz gut.

Grüsse r a c


als Antwort auf: [#211688]

Gefährliche Formulare

Annubis
Beiträge gesamt: 419

28. Feb 2006, 13:27
Beitrag # 6 von 22
Beitrag ID: #214343
Bewertung:
(72656 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
viele webseiten haben seit einiger zeit die tendenz captcha einzubauen.

ich selbst habe so ein kleines teil mal nebenbei programmiert und setze es immer wieder gerne ein wo es inet user gibt die alle validierungsversuche zum trotz sich nen spass draus machen diese sicherungen zu umgehen. ich bin froh für diese captcha erfindung *g* und bin ebenfalls tierisch froh das es noch keine wirklichen umgehungsmethoden gibt diese auszutricksen. das erleichtert uns webentwickler das leben gewaltig.


MfG Eric
http://www.1grad.ch: 1Grad - Online Marketing Agentur
http://www.haar-welt.ch: Schweizer Coiffeurvergleich's Portal
http://www.messe-kalender.ch: Der Messekalender der Schweiz


als Antwort auf: [#211772]

Gefährliche Formulare

r a c
Beiträge gesamt: 955

1. Mär 2006, 15:08
Beitrag # 7 von 22
Beitrag ID: #214697
Bewertung:
(72621 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo,

Captcha sind mir schon begegnet, kannte ich aber als Befriff noch nicht.
So habe ich das gefunden: Wikipedia
Aber auch das: Solving and creating captchas with free porn

Nun, was soll man dazu sagen?

Grüsse r a c


als Antwort auf: [#214343]
(Dieser Beitrag wurde von r a c am 1. Mär 2006, 15:09 geändert)

Gefährliche Formulare

Annubis
Beiträge gesamt: 419

1. Mär 2006, 17:03
Beitrag # 8 von 22
Beitrag ID: #214737
Bewertung:
(72601 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
joa wiki hat da ein guten text über captcha's.

naja man muss zZ keine angst haben. ein sauber codiertes script is zZ nicht per computer knackbar. solange wir noch keine besseren OCR (texterkennungssoftware) haben wirds auch "unknackbar" bleiben.

ausser man benützt ein dämliches script das zb die angezeigten zahlen so abspeichert wie sie heissen also Zahl 1234 heisst dann 1234.jpg oder Te09 wird Te09.jpg... aber das sieht man selten.

man muss nur jetzt überlegen ob man überall solche kontrollen einbauen will oder ob das dann übertrieben wäre.


MfG Eric
http://www.1grad.ch: 1Grad - Online Marketing Agentur
http://www.haar-welt.ch: Schweizer Coiffeurvergleich's Portal
http://www.messe-kalender.ch: Der Messekalender der Schweiz


als Antwort auf: [#214697]

Gefährliche Formulare

SabineP
Beiträge gesamt: 7586

2. Mär 2006, 08:20
Beitrag # 9 von 22
Beitrag ID: #214850
Bewertung:
(72588 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hi Annubis,

selbstverständlich kann man Captchas automatisch auslesen.
Schau Dir die Links in diesem Beitrag an:
http://www.hilfdirselbst.ch/..._P211028.html#211028

Gruß Sabine


als Antwort auf: [#214737]

Gefährliche Formulare

Annubis
Beiträge gesamt: 419

2. Mär 2006, 09:34
Beitrag # 10 von 22
Beitrag ID: #214865
Bewertung:
(72576 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hi Sabine.

das stimmt nur bedingt. wie ich oben schon sagte bei den standartcaptchas die es im netz zZ zu hunderte zum downloaden gibt kann man es knacken das stimmt. aber wenn man es selber macht is die wahrscheinlichkeit viel geringer.
und 100% sicherheit gibts NIE aber für standartuser is dann die sicherheit ausreichend.


MfG Eric
http://www.1grad.ch: 1Grad - Online Marketing Agentur
http://www.haar-welt.ch: Schweizer Coiffeurvergleich's Portal
http://www.messe-kalender.ch: Der Messekalender der Schweiz


als Antwort auf: [#214850]

Gefährliche Formulare

oesi50
  
Beiträge gesamt: 2315

2. Mär 2006, 18:29
Beitrag # 11 von 22
Beitrag ID: #215027
Bewertung:
(72555 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Antwort auf: solange wir noch keine besseren OCR (texterkennungssoftware) haben wirds auch "unknackbar" bleiben.


haben wir doch, und sogar die allerbesten.

Hier wird beschrieben, wie es funktioniert:

http://www.boingboing.net/...ng_and_creating.html

Kurze Zusammenfassung des o.a. Artikels:

Man baut eine freie(kostenlose) P0rn0-Seite. Als Bestätigung zur Betrachtung der "Kunstwerke" bindet man das zu lösende CAPTCHA ein. Voilà tout! Der beste aller OCR-Erkenner löst die Aufgabe und das Spammer-Script kann munter loswackeln.

Der Character der Kunstwerke stellt auch sicher, daß genügend OCR-Erkenner in kurzer Zeit
tätig werden.


Gerade eben muss ich feststellen, daß rac dieses Verfahren auch schon gepostet hat.
http://www.hilfdirselbst.ch/..._P214697.html#214697


Grüße Oesi
Ich weiß, dass ich nicht weiß... (Sokrates)


als Antwort auf: [#214737]
(Dieser Beitrag wurde von oesi50 am 2. Mär 2006, 18:32 geändert)

Gefährliche Formulare

r a c
Beiträge gesamt: 955

2. Mär 2006, 19:42
Beitrag # 12 von 22
Beitrag ID: #215040
Bewertung:
(72548 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo

Antwort auf [ oesi50 ] ...
Gerade eben muss ich feststellen, daß rac dieses Verfahren auch schon gepostet hat.
http://www.hilfdirselbst.ch/..._P214697.html#214697


bevor mich hier oesi noch zum P0rn0*-Experten macht, möchte ich darauf hinweisen, dass ich diesen Link aus dem Artikel von Wikipedia habe.

Ich habe ihn speziel herausgestrichen, weil der Ansatz so verblüfend ist (und technisch ein GAU, da man zwischen Menschen und Menschen nicht unterscheiden kann).

Grüsse r a c

*Schreibweise, damit wir unter diesem Stichwort nicht bei Google sind Wink


als Antwort auf: [#215027]

Gefährliche Formulare

Peter Samuel
Beiträge gesamt:

3. Mär 2006, 11:49
Beitrag # 13 von 22
Beitrag ID: #215149
Bewertung:
(72526 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
mein problem geht wohl in diese richtung: mein foto-weblog http://psjfoto.ch/mt/
wird seit kurzem regelmässig von spam-attaken heimgesucht. innert 5 minuten 20 spammails, dann ist ruhe, am nächsten tag geht's von vorne los. die mails landen in den formularen, die zum kommentieren meiner beiträge vorgesehen sind. frage mich, ob die jemand manuell eingibt oder ob es sich um einen automatisierten vorgang handelt (wie kommen die zur adresse??). glücklicherweise kann ich die einträge vor freischaltung kontrollieren und löschen, trotzdem lästig.


als Antwort auf: [#211507]

Gefährliche Formulare

jrandi
Beiträge gesamt: 794

3. Mär 2006, 14:38
Beitrag # 14 von 22
Beitrag ID: #215223
Bewertung:
(72514 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo

Unser Formular wurde soeben für Spam benutzt, irgendwo haben Sie MIME-Version 1.0 eingeschläust und via BCC jemanden belästigt. . .

Wollte mal nachfragen, ob nachfolgender PHP-Code ausreicht um dies definitif zu stoppen ?

$societe = preg_replace( "/[^a-z0-9 !?:;,.\/_\-=+@#$&\*\(\)]/im", "", $_POST['societe'] );
$societe = preg_replace( "/(content-type:|bcc:|cc:|to:|from:)/im", "", $societe);
//dies natürlich in allen feldern

Oder muss ich da noch härteres Geschütz auffahren ?

Besten Dank für tipps und tricks
jurg


als Antwort auf: [#215149]

Gefährliche Formulare

SabineP
Beiträge gesamt: 7586

3. Mär 2006, 14:45
Beitrag # 15 von 22
Beitrag ID: #215224
Bewertung:
(72512 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hi Peter,

Movable Type verfügt über sehr gute Spamfilter
(Keywordfilter, URL-Filter, automatische Prüfung der sogenannten Blacklisten).

Man kann auch in der mt-config.cgi
den Zeitabstand zwischen zwei Kommentaren einstellen.

Das dürfte Dein Blog gut vor Spam-Angriffen schützen.

Grüße von Sabine


als Antwort auf: [#215149]
X
Hier Klicken

Veranstaltungskalender

Hier können Sie Ihre Anlässe eintragen, welche einen Zusammenhang mit den Angeboten von HilfDirSelbst.ch wie z.B. Adobe InDesign, Photoshop, Illustrator, PDF, Pitstop, Affinity, Marketing, SEO, Büro- und Rechtsthemen etc. haben. Die Einträge werden moderiert freigeschaltet. Dies wird werktags üblicherweise innert 24 Stunden erfolgen.

pdf-icon Hier eine kleine Anleitung hinsichtlich Bedeutung der auszufüllenden Formularfelder.

Veranstaltungen
17.10.2019

Digicomp Academy AG, Limmatstrasse 50, Zürich
Donnerstag, 17. Okt. 2019, 18.00 - 20.30 Uhr

Vortrag

Farben sind ein wichtiges Gestaltungselement in Corporate Design und Branding. Als Sinneseindruck, der von Beleuchtung, Materialeigenschaften und Kontext abhängt, ist eine Farbe jedoch schwer zu fassen. Der Verein freieFarbe setzt sich für eine offene, digitale Farbkommunikation ein und hat hierzu das HLC-Farbsystem entwickelt. Dieses hilft, zwischen Gestaltung am Computer, physischen Farbmustern und unterschiedlichen Verfahren in der Produktion eine Brücke zu schlagen. Es basiert zudem auf bestehenden ISO-Standards für die Druckindustrie.

Donnerstag, 17. Oktober 2019, 18 bis 20.30 Uhr

Ja

Organisator: Digicomp Academy AG

https://www.meetup.com/de-DE/Publishing-Group-Switzerland/events/264611769/

Freie Farbe für die digitale Zukunft
Veranstaltungen
21.10.2019 - 22.10.2019

München
Montag, 21. Okt. 2019, 09.30 Uhr - Dienstag, 22. Okt. 2019, 17.30 Uhr

Schulung, Seminar

Wer hochwertige und farbechte Ergebnisse im Digitaldruck erzielen will, der braucht umfassende Colormanagemement- und PDF-Kenntnisse. Selbst wenn die Maschine kalibriert und das Rip richtig konfiguriert ist, lassen die Ergebnisse oft zu wünschen übrig. Der Grund hierfür liegt zu 90 % in den Daten und in falsch eingestellten Anwendungsprogrammen, auch in falschen Einstellungen im Druckmenü.

Nein

Organisator: Cleverprinting.de

https://www.cleverprinting.de/zweitaegige-weiterbildung-zum-digitaldruck-operator/

Zweitägige Weiterbildung zum Digitaldruck-Operator