[ml] Header forgiati nelle mail spedite da PHP

Ciao a tutti,

ultimamente abbiamo un problema su alcuni form dei nostri siti che
spediscono email (registrazioni, richiesta info, ecc).

In pratica, qualcuno riesce a fare una specie di "code-injection" su
alcuni campi del form e forgiare l'header come vuole, per esempio
inserendo un bcc con svariati indirizzi email.

Es. se nel campo "nome" inseriscono qualcosa tipo:

"into
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain
X-Mailer: Lotus Notes elease 5.0.10 March 22, 2002
Subject: $SOME_RANDOM_WORDS
bcc: $SVARIATI_INDIRIZZI_EMAIL

$TESTO_FORGIATO
"

riesce a spedire a $SVARIATI_INDIRIZZI_EMAIL quello che vuole.

Per mandare le mail, gli sviluppatori utilizzano la seguente classe php:

htmlMimeMail da http://www.phpguru.org/ versione 2.5 (abbiamo
php4), scaricata da http://www.phpclasses.org/browse/package/32.html

Conoscete un modo per proteggersi da questo tipo di attacchi?

A naso, la prima cosa che mi viene in mente è fare un controllo lato
php, prima di spedire la mail, controllando che nessun campo contenga
"bcc: ", ma non credo risolva il problema, anche perchè in alcuni casi
è necessario che un bcc esista.

Idee?

grazie mille,

-- 
Marco Bertorello
System Administrator
http://bertorello.ns0.it

Attachment: signature.asc
Description: PGP signature