modulo ordini e phishing

[ufino]

spero che la sezione sia quella giusta per questo mio dubbio...

qualche mese fa ho implementato un modulo php per l'invio di ordini elettronici
fino a qualche gg fa tutto funzionava bene, ma adesso i gestori dell'hosting lo hanno bloccato co nquesta motivazione:

----------------------
Un form all'interno del vostro sito
viene utilizzato per l'invio di email illegali di PHISHING

Come previsto dalla legge ho l'obbligo di bloccare il sito
in attesa della correzzione del BUG.
----------------------

Adesso mi chiedo:
1. per come la vedo io, l'aggressione per il phishing è dovuta unicamente alla loro scarsa protezione della macchina server su cui il sito è ospitato...sbaglio?
2. quali bug potrebbero esistere nel codice tali da consentire queste aggressioni esterne?

[filippo.toso]

Se non posti il codice che stai utilizzando è difficile capire da quale parte stia il problema. Comuqne form mail sviluppate senza attenzione alla sicurezza possono facilmente creare dei problemi ed essere un punto di attacco per il fishing.

[ufino]

il form consiste di due parti, una html ed una php, richiamata dall'html per linvio dei dati
quale codice devo postare per capire dove potrebbe essere il problema, il php o l'html?

[filippo.toso]

PHP

[ufino]

ecco il codice


-------------------------
<?php


//this is kinda plain english
//basicly it check's the recipient address...if you where wondering what it does

// $recipient_in = split(',',$recipient);
//for ($i=0;$i<count($recipient_in);$i++) {
// $recipient_to_test = trim($recipient_in[$i]);
// if (!eregi("^[_\\.0-9a-z-]+@([0-9a-z][0-9a-z-]+\\.)+[a-z]{2,3}$", $recipient_to_test)) {
// print_error("I NEED A VALID RECIPIENT EMAIL ADDRESS ($recipient_to_test) TO CONTINUE");
// }
//S}
//change require to required
if ($required)
$require = $required;

if ($require) {
//this is kinda plain english
$require = ereg_replace( " +", "", $require);
$required = split(",",$require);
for ($i=0;$i<count($required);$i++) {
$string = trim($required[$i]);
if((!(${$string})) || (!(${$string}))) {
if ($missing_fields_redirect) {
header ("Location: $missing_fields_redirect");
exit;
}
$require;
$missing_field_list .= "You Did Not Enter: $required[$i]
\n";
}

/* for php programmers only
if variables are'nt gettin sent you can just
uncomment this line and include this code which will get all variables sent
in the form and put them all in the message variable */

//$message = parse_form($HTTP_POST_VARS);

/* if underscore's dont appear, put them in, its just may editor is SHIT */

/*
i dont use this because i need some variables and its not very reliable this was used in v1.0 & v1.1 */

}
}

//if no subject use $othersub
if (!$subject)
$subject = "$othersub";
//if no $othersub & no $subject use form submission as subject
else if ((!$othersub) && (!$subject))
$subject = "Form Submission";



//Send E-mail
//other = if you added a extra field to the form call them other - other4
// dont worry bout the $other variables if you dont have them in the form nothing will show in the email

mail("$recipient","$subject","
-- Ordine Cliente Privato --

- Dati Fatturazione -
Nome: $nome
Cognome: $cognome
Indirizzo: $indirizzo
CAP: $cap
Città: $citta
Provincia: $provincia
Codice Fiscale: $codice_fiscale
Partita IVA: $partita_iva
Telefono Fisso: $telefono_fisso
Cellulare: $cellulare
e-mail: $email
Modalità di Pagamento: $pagamento
Acconsente al trattamento dati come descritto sul sito: sì
Ha preso visione della normativa relativa al diritto di recesso: sì

- Dati Spedizione -
compilati solo se differenti rispetto ai Dati Fatturazione
Nome: $nome_due
Cognome: $cognome_due
Indirizzo: $indirizzo_due
CAP: $cap_due
Città: $citta_due
Provincia: $provincia_due
Telefono Fisso: $telefono_fisso_due
Cellulare: $cellulare_due


- Elenco Prodotti Ordinati -
Codice: $campo_uno - Quantità: $campo_due - Descrizione: $campo_tre

Codice: $campo_uno1 - Quantità: $campo_due1 - Descrizione: $campo_tre1

Codice: $campo_uno2 - Quantità: $campo_due2 - Descrizione: $campo_tre2

Codice: $campo_uno3 - Quantità: $campo_due3 - Descrizione: $campo_tre3

Codice: $campo_uno4 - Quantità: $campo_due4 - Descrizione: $campo_tre4

Codice: $campo_uno5 - Quantità: $campo_due5 - Descrizione: $campo_tre5

Codice: $campo_uno6 - Quantità: $campo_due6 - Descrizione: $campo_tre6

Codice: $campo_uno7 - Quantità: $campo_due7 - Descrizione: $campo_tre7

Codice: $campo_uno8 - Quantità: $campo_due8 - Descrizione: $campo_tre8

Codice: $campo_uno9 - Quantità: $campo_due9 - Descrizione: $campo_tre9


- Eventuali Note -
$note

","From: $nome $cognome<$email>","MIME-Version: 1.0\r\nContent-type: text/html; charset=iso-8859-1\r\nCc: $email");


// END send e-mail - "MIME-Version: 1.0\r\nContent-type: text/html; charset= iso-8859-1\r\nCc: $email");


// INVIO DELLA MAIL
if(@mail($to, $email, $subject, $body, $headers)) { // SE L'INOLTRO E' ANDATO A BUON FINE...

header("location: conferma.htm");

} else {// ALTRIMENTI...

header("location: problema.htm");

}

?>
-------------------------


grazie per l'aiuto!

[filippo.toso]

Questo script è un colabrodo, ti consiglio di cercare un buon programmatore e fartelo riscrivere da zero.

[ufino]

mi sapresti dare qualche dritta su come renderlo più sicuro?

[ufino]

UP, please....

avete qualche dritta, link o guida da usare per limitare questo problema?