Rash thoughts about .NET, C#, F# and Dynamics NAV.


"Every solution will only lead to new problems."

Wednesday, 7. March 2007


E-Mail-Spam über unsichere Kontaktformulare

Filed under: Security — Steffen Forkmann at 9:50 Uhr

Wie mir mein Provider heute mitgeteilt hat, wurde über meine ehemalige Firmenseite www.forksoft.de massiver E-Mail-Spam begangen. Ich habe an der Seite schon seit geraumer Zeit nichts mehr geändert, aber offensichtlich habe ich damals eine Sicherheitslücke in mein E-Mail-Kontaktformular eingebaut.

Das Problem ist, dass ich die übergebene Absenderadresse damals nicht ausreichend validiert habe. Wenn man z.B. folgendes einträgt, konnte man an ziemlich viele Mailadressen Spam versenden:

kunde@domain.de[Zeilenumbruch]Bcc: test1@spamopfer.de, test2@spamopfer.de, …

Die Lösung ist natürlich mehr Misstrauen auf die Benutzereingaben zu legen:

if(!preg_match( "/^([a-zA-Z0-9])+([.a-zA-Z0-9_-])*@([a-zA-Z0-9_-])" . "+(.[a-zA-Z0-9_-]+)+$/", $fromAddress) die("ungültiges mailformat");

Also merke: Alle Benutzereingaben sind böse!

Tags:

No Comments »

No comments yet.

RSS feed for comments on this post. | TrackBack URI

Leave a comment

XHTML ( You can use these tags): <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> .