Presunti SPAM da form PHP

[djcaipiroska]

Ciao a tutti, porgo questa domanda perchè sto avendo un battibecco con un mio cliente che mi accusa che il form php che ho utilizzato nel suo sito continua a mandare SPAM ai suoi clienti.

Prima di postare eventualmente il codice inserito nel file SEND.php volevo chiedere un vostro parere. E' possibile che secondo voi da un semplice form di compilazione in html con un meccanismo PHP per l'invio della mail possa di punto in bianco, da un giorno all'altro MANDARE SPAM a CLIENTI? Non è una cosa che colpisce un data base o la mail di qualche amministratore del sito? o cose varie?

Premetto che io di PHP so poco e nulla... ho utilizzato un form che mi ha fatto un mio amico e ha sempre funzionato in altri progetti.

Grazie mille per il vostro tempo. Le vostre risposte saranno molto importanti per me.

[filippo.toso]

Si, se fatto male è molto probabile che accada.

[djcaipiroska]

ciao filippo... potrei avere la tua mail e mandarti i file in questione sapere se in effetti si nota il problema dell'invio spam?

thanks

[Razorblade]

Posta il codice, se ci sono delle falle ti aiuteremo a risolverle.
Ciao

[djcaipiroska]

Inizio a postare il codice presente nel file SEND.php a cui è collegato il form e che serve a mandare la mail una volta cliccato su INVIA MODULO:
(per questione di privacy ho messo MIOSITO dove c'e' il nome dell'azienda)

<?

$nome = $_POST['requirednome'];
$cognome = $_POST['requiredcognome'];
$azienda = $_POST['azienda'];
$posizione = $_POST['posizione'];
$telefono = $_POST['requiredphone'];
$fax = $_POST['fax'];
$via = $_POST['requiredvia'];
$nvia = $_POST['requirednvia'];
$citta = $_POST['requiredcitta'];
$pv = $_POST['requiredpv'];
$cap = $_POST['requiredcap'];
$email = $_POST['requiredemail'];
$settore = $_POST['settore'];
$prodotto = $_POST['requiredprodotto'];
$pollici = $_POST['pollici'];
$utilizzo = $_POST['requiredutilizzo'];
$note = $_POST['note'];

$dest="info@miosito.it";
$mittente="miosito.it";
$testo = stripslashes($testo);
$email = stripslashes($email);
$pagina_conferma = "http://www.miosito.it/thanks.htm";

$subject = "RICHIESTA INFORMAZIONI";
$message = "Dati inviati dal Mittene: $cognome $nome

DATI PERSONALI
--------------
Nome: $nome
Cognome: $cognome
Azienda: $azienda
Posizione: $posizione
Telefono: $telefono
Fax: $fax
Via: $via, $nvia
Città: $citta, $pv - $cap
E-mail: $email
Settore Commerciale: $settore

TIPOLOGIA PRODOTTO
------------------
Supporto: $prodotto
Pollici: $pollici
Utilizzo: $utilizzo
Note Aggiuntive: $note

";

mail($dest, $subject, $message, "From: $cognome $nome <$email>");
echo '<script language="javascript">alert("Grazie! La tua mail è stata inviata correttamente.");location.href="http://www.miosito.it/"</script>';


?>

Grazie per il vostro tempo

[Razorblade]

Allora,
diciamo che il codice manca di un qualsiasi controllo antispam, come per esempio il captcha.
La email viene spedita sempre a $dest che è definito all'interno del codice, non vorrei dire una boiata, ma mi pare difficile che si riesca a modificare il valore di $dest tramite una richiesta GET o POST che sia.

Forse si potrebbe avendo register_globals settato su on sul php.ini.

Un'altro exploit di questo script potrebbe essere dato dalle variabili che prendono il loro valore direttamente da ciò che viene inviato in POST, sarebbe bene creare una funzione che elimini eventuali caratteri che potrebbero essere dannosi.


Se posso chiedere, come fa il cliente a dire che lo spam è inviato proprio da questo form?
Se si potesse vedere un esempio delle email recapitate sarebbe un po' più semplice fare delle ipotesi.
Ciao

[filippo.toso]

Originariamente inviato da Razorblade
La email viene spedita sempre a $dest che è definito all'interno del codice, non vorrei dire una boiata, ma mi pare difficile che si riesca a modificare il valore di $dest tramite una richiesta GET o POST che sia.

Guarda meglio ... come viene impostato il 4 parametro di mail()?

[Razorblade]

Ok, dando una veloce ripassata su php.net alla funzione mail() , vedo che il quarto parametro, $headers, può contenere le varie carbon copy.

Non avendo un controllo per quanto riguarda la variabile email, io via post posso passarti una stringa con il valore che mi pare, e far inviare i messaggi dove mi pare.

Il consiglio è di aggiungere un controllo alla variabile $email, verificando che effettivamente il valore passato sia una email, magari con una espressione regolare.

[Razorblade]

Originariamente inviato da filippo.toso
Guarda meglio ... come viene impostato il 4 parametro di mail()?

Eh scusa... stavo scrivendo

Saranno anni che non uso più direttamente mail()

[djcaipiroska]

Ciao a tutti. Grazie per le vostre risposte.

Dunque, per i controlli, non vi ho allegato il codice HTML della pagina. Comunque dentro la pagina ho messo dei controlli JAVASCRIPT che controllano la mail, il numero dei caratteri eccc..ecc...

Stamattina poi ho sentito il mio cliente con cui stiamo giungendo ad un accordo pacifico... e mi ha detto che il problema è sostanzialmente il nome del file... ovvero SEND.PHP

Eventuali hacker (chiamiamoli così) sembra che si divertano a trovare il nome di questo file per modificarne eventuali parametri... resta pero' sempre il fatto del... COME LO RICARICANO POI SUL SERVER SENZA I DATI DI ACCESSO? ... MAh...

Comunque le vostre osservazioni sono interessanti... però non sapendo niente di PHP per me è un pò arabo... potreste dirmi dove cambiare codice e con cosa sostituire?

Thanks...

Ah razor... per rispondere a te... in pratica la mail che ti arriva è con questo testo...
E basta. Senza nessun dato del cliente.

RICHIESTA INFORMAZIONI
Dati inviati dal Mittene:

DATI PERSONALI
--------------
Nome:
Cognome:
Azienda:
Posizione:
Telefono:
Fax:
Via:
Città:
E-mail:
Settore Commerciale:

TIPOLOGIA PRODOTTO
------------------
Supporto:
Pollici:
Utilizzo:
Note Aggiuntive: