Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  7 949
ertsaas
565 35
21. september 2012
Hei. Jeg har et enkelt kontakt skjema i php og jeg har ikke lakt noe vekt på sikkerigheten, da jeg kan for lite.

Fikk mail for 3 dager siden:

HTML-kode

Kontakt info:
Navn: ChbXWhXAlD
TLF: oPKyGghkDpdrvOaOBkc
E-post: ekLXpOPAae

Adresse:
Gate: BlVVeLIh
Post nummer: JUGfoKSRcWJnQABP
Sted: WQJocMxRz

Tid
Ønsket dato: yDiYBMqCPjMsBx
Alternativ dato: VjpGntfStEvXXvItYG
Tid på døgnet: kFWTzqfqggxzYc

Fritekst:
I don\'t even know what to say, this made things so much easeir!

Privat eller bedrift?:
Bedrift
Spørsmål: ved et kontakt skjema, hva kan en hacker gjøre?
Fikk beskjed av webhost at "Global Config" var på (Er slått av nå)

Hva er det man kan gjøre for å hindre å bli misbrukt?
Pjukern
Sikkerhetsklarert
2.471 332
21. september 2012
Legg til et nytt felt i skjema. Skriv f.eks "Hva er 4+4". Når post data sendes så utfør en sjekk om feltet inneholder "8" før du går videre til å sende mail.

Alt utifra hvor usikkert du har laget det, så kan man i værste fall bruke det til å sende spam i alle retninger. I bestefall bare til adressen du har satt det opp til å sende til.
Sist endret av Pjukern; 21. september 2012 kl. 21:40.
Echodius
All in!
870 268
21. september 2012
http://www.captcha.net/
Dette fungerer fint til sånt.
ertsaas
Trådstarter
565 35
21. september 2012
Takk for svar
Men sånn gennerelt, Hva er ulempen med at Global Config er slått på?
thundercat
476 79
22. september 2012
Umulig å si hva 'Global Config' hos din webhost. Her er det en 'bots' som ønsker å sende ut spam.

3 ting du kan gjøre:
1.lag en verifisering som det er foreslått over her.
2.Sjekk Http referer om POST kommer ifra siden din. (mindre brukbart).
3.Lag enda ett felt som er gjemt via CSS, dette feltet vil ikke ett menneske kunne se.. MEN en bot vil fylle den ut. Så kan du sjekke i scriptet om den er fylt ut: så ikke send skjemaet. (normal respons på denne også).
CodeBarbarian
Sikkerhet/Utvikling
CodeBarbarian's Avatar
242 82
22. september 2012
Sitat av ertsaas Vis innlegg
Takk for svar
Men sånn gennerelt, Hva er ulempen med at Global Config er slått på?
Vis hele sitatet...
Jeg tror det er snakk om register_globals. Vell for og si det slik, hvis web-hosten din bruker en sammensetting av Apache, MySQL og PHP med register_globals slått på ved "default setup", så skal du tenke på og bytte host.

Du kan lese mer om register_globals i php manualen.


Sikkerhet rundt PHP og bruker interaksjon:
  • Behandle all input som om det var skadelig kode(Dette gjør deg mer observant på bra/dårlig sikkerhet i php).
  • Valider input. Hvis det er en "string" du skal ha inn, så sjekk for string. Dette gjelder alt fra; tall, tid/dato, tillatte bokstaver osv.
  • Få noen til og teste skriptet for mulige sikkerhets hull som kan utnyttes.


Noen stikkord som kan være til nytte for koding av skript som har med bruker interaksjon og gjøre er:
ma10as
990 198
22. september 2012
Sitat av thundercat Vis innlegg
3.Lag enda ett felt som er gjemt via CSS, dette feltet vil ikke ett menneske kunne se.. MEN en bot vil fylle den ut. Så kan du sjekke i scriptet om den er fylt ut: så ikke send skjemaet. (normal respons på denne også).
Vis hele sitatet...
Jeg bruker denne metoden på mine skjemaer, og er aldri plaget med noe spam. Med tanke på brukervennlighet er også denne løsningen best, da bruker slipper å tyde et bilde/svare på spørsmål.
danielsk
2.224 689
22. september 2012
Sitat av Echodius Vis innlegg
http://www.captcha.net/
Dette fungerer fint til sånt.
Vis hele sitatet...
Nei. reCaptcha, og stort sett alle andre captcha er knekt, og stopper bare de dårligste spambotene.

Løsningen med å ha ett felt som du setter "display:none;" i CSS høres mye bedre ut