Aller au contenu

Sujets conseillés

Posté

Bonjour à tous,

J'ai choisi voici quelques temps de tester l'utilisation d'un formulaire de contact, afin de permettre plus facilement à mon lectorat de prendre contact avec moi.

Malheureusement, et j'imagine que c'est facilement le cas pour tous ceux qui sont un temps soit peu connu sur le web, mon formulaire a été hacké. J'ai supprimé le script du site, mais je souhaiterai en avoir un bon reconnu et ou je ne risque rien.

Est-ce que vous pouvez me conseiller quelque chose ?

Jusqu'à présent, j'utilisai celui-ci:

HDAformail+upload 1.0 de Fabrice Lezoray (c'est un formulaire de contact avec upload de fichier)

Je vous remercie par avance,

scotlandyard

Posté

Salut,

Tu as sans doute été victime du "hack" qui court en ce moment sur le net qui consiste à détourner les formulaires en rajoutant bcc dans chaque input du formulaire pour spammer d'autres adresses mails. C'est ça ? Si oui pour contourner le problème un petit htmlentities() sur chaque variable et normalement ça doit résoudre le problème, ou sinon réécrire soit même le header du mail. @+

Posté

Hello !

Et merci de ta réponse !

Cela y ressemble, effectivement, mais je suis assez refroidi à l'idée de réutiliser ce script !

Je n'ai pas moyen de savoir si des mails ont été envoyé ailleurs... Mais oui, les mails que j'ai eu ont tous un nom de mail différent, reprenant mon nom de domaine.

Je pense surtout que je vais réintroduire le bon vieux gif avec l'adresse écrite dedans. Même les script de cryptage mail sont inefficace.

Il faut que je commence très sérieusement à protéger mon serveur web...

scotlandyard

Posté

Bonjour,

Pour sécurisé il faut éviter l'injection d'headers (sur la fonction mail de php) dans les champs saisies en filtrant ce qui est saisie :

Si vous demander l'adresse email de la personne qui vous contact

exemple avec le champ from

Saisie du from : ...

Ce champs doit etre filtrée avant l'appel à la fonction mail et ne doit pas contenir de mots clés relatifs au entete de message ni de retour chariot : Bcc,Cc, %0A%0D, /n/.

Les champs "Subject" et "To" sont sensible aussi à l'injection....de scripts.

Tout ceci est détaillé sur ici

En ce moment c'est AOL qui est visé...

Good luck

PS : En général pour un formulaire de contact on eviter d'utiliser la fonction mail du php; Souvent le fournisseur d'accés propose se service avec un cgi.

Posté
PS : En général pour un formulaire de contact on eviter d'utiliser la fonction mail du php; Souvent le fournisseur d'accés propose se service avec un cgi.

Hello !

J'ai pas encore trouver le smiley qui se tape le front ! Mais bien sur, j'ai complétement oublié le CGI pour le mail... Effectivement, ça va aller tout seul maintenant.

Merci pour ton message: Cela m'a aidé à comprendre le fonctionnement du formulaire et en même temps j'ai trouvé la solution par un moyen detourné !

Merci !

scotlandyard

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...