ثغرات فورم ارسال البريد ؟ ممكن مساعدة ؟

[فلكلور]

السلام عليكم

لقيت بعض الرسائل في بريدي مرسلة من فورم البريد في موقعي


ما هي هذه الثغرات ؟ و ما خطورتها ؟ و كيف يتم استغلالها و الحماية منها ؟

ارجو مساعدتي بقدر المستطاع

سلام

كود:

</textarea><script>alert(\'wvs-xss-magic-string-365965338\');</script>

<script>var wvs_xss_test_variable=765980144;alert

(wvs_xss_test_variable);</script> 


 <script>var wvs_xss_test_variable=715990667;alert

(wvs_xss_test_variable);</script>

Name : some_url
Set-Cookie:this_header=was_injected_by_wvs 


/some_inexistent_file_with_long_name

[MaaSTaaR]

واضح انه يحاول اكتشاف ثغره من نوع XSS و اعتقد انه لم يفلح , حاول توفير الشيفره المصدر حتى يتمكن الاخوان من مساعدتك .

[فلكلور]

كود:

     $msg = "Name : $email_name \n Email : $email_email \n Message : \n ----------------------- \n $email_msg  \n ----------------------- \n" ;



                      $from = "$email_name <$email_email>" ;


    $mailHeader  = 'From: '.$from.' '."\r\n";
    $mailHeader .= "Reply-To: $email_email\r\n";
    $mailHeader .= "X-EWESITE: Allomani\r\n";
    $mailHeader .= "X-Mailer: PHP/".phpversion()."\r\n";
    $mailHeader .= "X-Sender-IP: {$_SERVER['REMOTE_ADDR']}\r\n";


    $mailParams = "-f$email_email";
    $mailResult = mail($email,"Allomani Contact System",$msg,$mailHeader,$mailParams);

[jadweb.com]

الموضوع خطير يالغالي و شيء جيد انك تتابع موقعك من جميع النواحي و خاصة البريد
شاهد هذا الموضوع المتجاهل

http://www.swalif.net/softs/showthread.php?t=160902

وحل مؤقت اعمل التالي :

غير المتغير

كود PHP:

$msg 


الى مثلا

كود PHP:

 $massssgokok 


واعمل ذلك مع جميع المتغيرات الاخرى

كود PHP:

$email_email 

$email_msg

$mailHeader 


الخ ...

[MaaSTaaR]

السلام عليكم ...

ارى من الافضل ان تمرر المتغيرات على الداله htmlspecialchars

[jadweb.com]

ما هي فائدة الداله

كود PHP:

 htmlspecialchars 


اخي MaaSTaaR في هذه الحالة .

[php&mysql]

htmlspecialchars

تقوم هذه الدالة بإقاف عمل كود الـHTML عن طريق تحويل الـعلامات الخاصة مثل (<>") إلى كود ASCII

[jadweb.com]

مشكور اخوي عارف عمل الدالة بس ابي اعرف وش فائدة استخدامها هنا !!!!

[MaaSTaaR]

للاحتياط فقط حتى نمنع شيفرات الـ HTML لانه قد يجد منفذ يطبّق ثغرات من نوع XSS في الفورم البريدي .

[jadweb.com]

اخوي تمرير htmlspecialchars يكون فقط في محتوى الرسالة و لا يؤدي اي نفع في استغلال الفورم .

بدر العنزي

[MaaSTaaR]

في الحقيقه كما ذكرت لك للاحتياط لانه قد يحتوي الفورم على اي منفذ يمكن ان يستغله, , كما تعلم الـ XSS يتم استغلالها إما عن طريق الحقن في ترميزات (X)HTML او من خلال استخدام الجافا سكربت في المعلومات التي يتم عرضها في الموقع مباشره.

[أحمد أبو النصر]

أخ MaaSTaaR بارك الله بجهودك وبجهود جميع الإخوان ، أنا أوافقك الرأي .. يفضل تمريرها إلى دالة htmlspecialchars لتفادي تلك المشاكل ، فلن يتم تنفيذ تلك الثغرات بهذه الطريقة .. وشكراً جميعاً

[jadweb.com]

الغالي sBForum حياك الله كيف حالك اخوي من زمان ابحث عن ردودك .

الاستاذ MaaSTaaR جزاك الله خير .

[أحمد أبو النصر]

jadweb.com شكراً لك ، كنت منقطع عن الكتابة هنا بعضويتي بسبب توقفها عند تغيير بريدي هنا واستخدامي مزود بريد جواب ، فلم تكن رسالة التفعيل تصلني، لكن عندما استخدمت GMail بعد قبوله لاستضافة البريد لدي نجح الأمر ولله الحمد ..

ملاحظة: كنت أضع الردود من عضوية صديق لي ( موقع روش ) جزاه الله خيراً ...

وفي النهاية ، أرغب أن أتحدث معك إذا سمحت: Af_samhouri@hotmail.com << ماسنجر

تحياتي، sBForum

[jadweb.com]

تم الاضافة