Angriffe auf Emailformulare
In letzter Zeit häufen sich SPAM-Angriffe, die mit verhänderten Email-Headern versuchen, ihren Müll zu verbreiten.
Der Angriff erfolgt über Header-Informationen, das ist die Emailadresse des Absenders, die als Rückanwortadresse verwendet wird, und das Betrefffeld.
- Der Angreifer versucht, über diese Felder weiteren Code in den Emailheader einzuschmuggeln, was nur mit der Verwendung von Absätzen geht.
- Der Angriff ist nur möglich, wenn die Formularinhalte mit einem eigenen Formular abgesetzt werden können.
Wird die Betreffzeile verwendet, muss diese auch gesichert werden. Die einfachste Sicherung ist die Prüfung der Eingaben auf Abätze. Das selbe gilt, wenn der Name in die Rückantwortadresse gesetzt wird.
Codebeispiel:
<?php
if(strstr($email, "\n"))
$email = "";
if(strstr($betreff, "\n"))
$betreff = "";
if(strstr($name, "\n"))
$name = "";
?<
