Il y a une épidemie de SPAM présentement sur Internet, et les grands responsables de ce fléau, c’est VOUS les webmasters… Je me suis fait prendre au piège quelques fois moi-même avec des scripts non-sécurisées qui facilite la distribution des courriels pour les spammeurs de métier..
Prenons par example un script php tout simple, qui se retrouve fort probablement dans votre code à gauche et à droite..
<?php
$message = $_REQUEST["message"];
mail(”vous@votredomaine.com”, “Demande d’information”, $message);
?>
Un spammeur pourrait utiliser l’input de la variable «message» pour y envoyer un code semblable avec les sauts de lignes UNIX.
Content-Transfer-Encoding: quoted-printable\r\n
Content-Type: text/plain\r\n
Subject: Votre penis est tout petit\r\n
bcc: quelqun@icilabas.com,quelqundautre@ailleurs.com\r\n
Il y a plusieurs façon de resoudre ce problème, avec des scripts plus efficaces… mais commençons par le commencement.
La façon la plus simple de savoir si vous vous faites exploiter et de règler le problème est de remplacer les sauts de ligne UNIX par des BR HTML. De cette façon, il n’y a aucune façon d’envoyer du SPAM à partir de votre formulaire et en plus vous recevrez les spams qui auraient été envoyés à partir de votre site… En une seule copie, bourrée de BR
Utilisez la fonction nl2br()
mail(”vous@votredomaine.com”, “Demande d’information”, nl2br($message));
?>
Êtes-vous victime des spammeurs?
Soyez curieux, et vérifier le avec nl2br() tout en les empêchants.
- Matt
6 Responses
kwa
15|déc|2006 1Il est d’autant plus intéressant d’utiliser des CMS prêts à l’emploi qui ont fait leurs preuves plutôt que de s’improviser développeur web lorsque l’on ne l’est pas. En effet, en plus des compétences en PHP, il faut désormais acquérir de sérieuses compétences en matière de sécurité informatique, car la moindre faille est exploitée !
Un autre moyen pour les spammeurs de prendre le contrôle d’un serveur web et de l’exploiter pour innonder le monde de spam est de repérer les scripts PHP tels que :
#include $page
Ces scripts se repèrent très aisément quand les webmasters proposent des URL de cette sorte sur leurs sites :
http://www.example.com/index.php?page=menu.php
A en croire les messages sur les forums des hébergeurs ou leurs listes de diffusion, ce genre de code est monnaie courante sur les sites web…
Michel Piguet
15|déc|2006 2Bonjour,
Pour moi, c’est une surprise de taille. Je pensais que les pages php n’étaient pas visibles du public. (ou des spameurs)
Si vous m’expliquiez comment on peut aller lire du code sur un serveur distant, je suis preneur.
Evidement, je pense que pour l’exemple, il suffit de faire fopen et la page php peut éventuellement lue et on peut également utiliser les données inscrites.
Mais c’est un peu gros comme ficelle, c’est presque un câble.
michel
Matt
15|déc|2006 3Salut Michel,
Le spammeur, voir pirate dans un cas comme celui-ci, ne voit pas le code de ta page PHP, absolument pas! Cependant, il voit très bien le formulaire HTML que vous laissez sur un espace public.
Si vous avez un champ textarea pour composer un message. Il est simple à déduire que la valeur de ce champs sera récupéré dans votre code PHP puis ensuite traité, probablement à l’aide de la fonction mail()
Habituellement, ce genre d’attaque n’est pas fait directement par l’humain.. Des petits robots parcourent le web à la recherche de formulaire à exploiter.
Souvent, juste de nommer votre textarea avec un nom illogique peut éloigner les robots qui recherchent des patterns classiques (message, comments, comment, etc..)
J’espère que la situation se clarifie un peu, sinon et bien gène toi pas à me poser d’autres questions
- Matt
David
28|déc|2006 4Bonjour
J’ai testé la fonction nl2br() c’est vrai il y a pleins de
Je reçois des emails avec toujours un différent expéditeur et ils sont en html, comment font-ils pour mettre du html dans une variable PHP ou c’est pas ce genre de spam que je reçois.
J’ai mi des photos de spams que je reçois sur mon site teste http://www.bam.bamboohost.com/spam.html
Webmaster-pitbull
07|oct|2008 5Bonjour,
J’utilise plutot les buttons SWF ( Flash ) pour les mailto: De cette facon aucun code HTML est visible pour les adresses mail.
Vince
17|oct|2008 6j’ai un problème avec des spam il y a un robot qui complet mon formulaire et l’envoie et ca plusieur fois par semaine c’est de la junk
quelle solution qu j’ai
Leave a reply
Search
Catégories
Archives
Liens
Copyright © 2007 - Webmaster du Québec - Le réseau Peaudecastor
Créer un blogue Hébergement Web Québec Recettes québécoises