E-mai injection, avagy weboldal-biztonság

**Csicso** · 2007-11-13, 22:59

Létezik még ez a probléma? Mert csak 2005-2006-os cikkeket találtam rá, mintha ez már nem lenne divatos, vagy nem kéne már aggódni érte.
Bővebben arról van szó, hogy kedves hackerek a weboldalad contact us formjával korlátlan számú spamet tudnak kiküldeni, és a te weboldalad lesz bannolva pl. a Google által, hogy kiírja, hogy nem biztonságos.

Bővebben erről:

en.wikipedia.org/wiki/E-mail_injection
weblabor.hu/blog/20060304/emailbeszuras
hxxp://www.mailinjection.com/
hxxp://www.securephpwiki.com/index.php/Email_Injection

Ezzel kapcsolatban, hátha van itt ilyen szakértő: szerintetek milyen biztonsági problémák merülhetnek fel manapság egy tök egyszerű weboldalnál, amire érdemes szerintetek mindenkinek odafigyelni, hogy ne vesszen kárba senkinek a munkája? Mert pl. erről se tudtam semmit korábban, ki tudja, még mik vannak.

Hasonló témák:

**kow** · 2007-11-13, 23:16

"Létezik még ez a probléma? " Hogy a rákba ne létezne

Nem évül el, mint egy bűncselekmény.

A 3 alap: SQL, MAIL, HTML injection.

MAIL: A legjobb spamvédelem a kérdés feltétele: mennyi harminc + tizenöt? lehetőleg ez is képbekódolva, de tökéletes védelmet eddig nem láttam.

SQL: minndenképp validálni kell a bejövő adatokat típus, hosszúság szerint

HTML: nagyon egyszerű kivédeni: a user által bevitt és megjelenített tartalomra kell egy htmlspecialchars() fgv.

Akkor para lehet még a képfeltöltéssel, meg egy sor dologgal, amihez most fáradt vagyok leírni.

**Sanyi** · 2007-11-14, 15:27

Azt meg tudom nézni, hogy fertőzött-e már a weboldalam?

**kow** · 2007-11-14, 16:01

Nézd meg a HTML forrást és ha van benne olyan, mit nem te tettél bele, akkor igen. Általában ez egy jó hosszú sor, egybeírva a végén v. elején.

Másfajta "fertőzés" nincs, de attól még lehetnek gyenge pontjai.

**Sanyi** · 2007-11-14, 16:20

Ez kizárólag azon a html oldalon lehet, ahol a küldő rész van vagy máshol is?

**kow** · 2007-11-14, 16:24

Nem, ez bármilyen oldalon előfordulhat, még küldő from sem biztos, hogy kell hozzá, elég nem odafigyelni a beérkező adatok feldolgozásakor.

**Tahhi** · 2008-01-01, 21:32

Formok esetén figyelj arra, hogy a POST-olt formoknál csak POST adatot fogadj el, és fontosabb dolgoknál (pl. jelszóváltoztatás) egy hidden mezőbe rakj mindenkinek egyedi kódot, és ellenőrízd. Ellenkező esetben pl. egy GET-es küldésként paraméterezett kép másik weblapra történő beszúrásával elérhető, hogy ha egy regelt és bejelentkezett látogatód nézi meg a másik oldalt, megváltozik nálad a jelszava, ír a fórumodba stb.

A témában javaslom az XSS Exploits: Cross Site Scripting Attacks and Defense című könyvet. (torrenten fenn van)