ثغرات فورم ارسال البريد ؟ ممكن مساعدة ؟

فلكلور · 30-06-2006, 02:54 PM

السلام عليكم

لقيت بعض الرسائل في بريدي مرسلة من فورم البريد في موقعي

ما هي هذه الثغرات ؟ و ما خطورتها ؟ و كيف يتم استغلالها و الحماية منها ؟

ارجو مساعدتي بقدر المستطاع

سلام

كود:

</textarea><script>alert(\'wvs-xss-magic-string-365965338\');</script>

<script>var wvs_xss_test_variable=765980144;alert

(wvs_xss_test_variable);</script> 


 <script>var wvs_xss_test_variable=715990667;alert

(wvs_xss_test_variable);</script>

Name : some_url
Set-Cookie:this_header=was_injected_by_wvs 


/some_inexistent_file_with_long_name

MaaSTaaR · 30-06-2006, 05:41 PM

واضح انه يحاول اكتشاف ثغره من نوع XSS و اعتقد انه لم يفلح , حاول توفير الشيفره المصدر حتى يتمكن الاخوان من مساعدتك .

فلكلور · 30-06-2006, 06:58 PM

كود:

     $msg = "Name : $email_name \n Email : $email_email \n Message : \n ----------------------- \n $email_msg  \n ----------------------- \n" ;



                      $from = "$email_name <$email_email>" ;


    $mailHeader  = 'From: '.$from.' '."\r\n";
    $mailHeader .= "Reply-To: $email_email\r\n";
    $mailHeader .= "X-EWESITE: Allomani\r\n";
    $mailHeader .= "X-Mailer: PHP/".phpversion()."\r\n";
    $mailHeader .= "X-Sender-IP: {$_SERVER['REMOTE_ADDR']}\r\n";


    $mailParams = "-f$email_email";
    $mailResult = mail($email,"Allomani Contact System",$msg,$mailHeader,$mailParams);

jadweb.com · 01-07-2006, 06:52 AM

الموضوع خطير يالغالي و شيء جيد انك تتابع موقعك من جميع النواحي و خاصة البريد
شاهد هذا الموضوع المتجاهل

http://www.swalif.net/softs/showthread.php?t=160902

وحل مؤقت اعمل التالي :

غير المتغير

كود PHP:

  $msg

الى مثلا

كود PHP:

   $massssgokok

واعمل ذلك مع جميع المتغيرات الاخرى

كود PHP:

  $email_email 

 
$email_msg

 
$mailHeader

الخ ...

MaaSTaaR · 01-07-2006, 10:18 AM

السلام عليكم ...

ارى من الافضل ان تمرر المتغيرات على الداله htmlspecialchars

jadweb.com · 01-07-2006, 08:32 PM

ما هي فائدة الداله

كود PHP:

   htmlspecialchars

اخي MaaSTaaR في هذه الحالة .

php&mysql · 02-07-2006, 11:10 AM

htmlspecialchars

تقوم هذه الدالة بإقاف عمل كود الـHTML عن طريق تحويل الـعلامات الخاصة مثل (<>") إلى كود ASCII

jadweb.com · 02-07-2006, 07:31 PM

مشكور اخوي عارف عمل الدالة بس ابي اعرف وش فائدة استخدامها هنا !!!!

MaaSTaaR · 02-07-2006, 10:37 PM

للاحتياط فقط

حتى نمنع شيفرات الـ HTML لانه قد يجد منفذ يطبّق ثغرات من نوع XSS في الفورم البريدي .

jadweb.com · 03-07-2006, 12:24 PM

اخوي تمرير htmlspecialchars يكون فقط في محتوى الرسالة و لا يؤدي اي نفع في استغلال الفورم .

بدر العنزي

MaaSTaaR · 03-07-2006, 08:33 PM

في الحقيقه كما ذكرت لك للاحتياط لانه قد يحتوي الفورم على اي منفذ يمكن ان يستغله, , كما تعلم الـ XSS يتم استغلالها إما عن طريق الحقن في ترميزات (X)HTML او من خلال استخدام الجافا سكربت في المعلومات التي يتم عرضها في الموقع مباشره.

أحمد أبو النصر · 03-07-2006, 11:07 PM

أخ MaaSTaaR بارك الله بجهودك وبجهود جميع الإخوان ، أنا أوافقك الرأي .. يفضل تمريرها إلى دالة htmlspecialchars لتفادي تلك المشاكل ، فلن يتم تنفيذ تلك الثغرات بهذه الطريقة .. وشكراً جميعاً

jadweb.com · 04-07-2006, 07:51 AM

الغالي sBForum حياك الله كيف حالك اخوي من زمان ابحث عن ردودك .

الاستاذ MaaSTaaR جزاك الله خير .

أحمد أبو النصر · 04-07-2006, 12:51 PM

jadweb.com شكراً لك ، كنت منقطع عن الكتابة هنا بعضويتي بسبب توقفها عند تغيير بريدي هنا واستخدامي مزود بريد جواب ، فلم تكن رسالة التفعيل تصلني، لكن عندما استخدمت GMail بعد قبوله لاستضافة البريد لدي نجح الأمر ولله الحمد ..

ملاحظة: كنت أضع الردود من عضوية صديق لي ( موقع روش ) جزاه الله خيراً ...

وفي النهاية ، أرغب أن أتحدث معك إذا سمحت: Af_samhouri@hotmail.com << ماسنجر

تحياتي، sBForum

jadweb.com · 18-07-2006, 02:05 AM

تم الاضافة

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق