Re: [ml] Header forgiati nelle mail spedite da PHP

On ven, 2006-11-03 at 12:25 +0100, Marco Bertorello wrote:
> In pratica, qualcuno riesce a fare una specie di "code-injection" su
> alcuni campi del form e forgiare l'header come vuole, per esempio
> inserendo un bcc con svariati indirizzi email.
> 
> Es. se nel campo "nome" inseriscono qualcosa tipo:
> 
> "into
> Content-Transfer-Encoding: quoted-printable
> Content-Type: text/plain
> X-Mailer: Lotus Notes elease 5.0.10 March 22, 2002
> Subject: $SOME_RANDOM_WORDS
> bcc: $SVARIATI_INDIRIZZI_EMAIL
> 
> $TESTO_FORGIATO
> "

Anche l'esempio che hai portato à un po' ambiguo (nel senso che non à chiaro a quali elaborazioni à sottopostio l'input utente), dovrebbe trattarsi di command-injection.
Se hai accesso al codice php, assicurarti di validare l'input!
Immaginando che il campo nome della tua form debba contenere
esclusivamente una stringa alfanumerica, usa la funzione php
ctype_alnum() (http://it2.php.net/ctype_alnum) per validare l'input
dell'utente.

Applica un approccio simile per *ogni* parametro che ricevi dalla form!
Le funzioni che possono tornarti utili sono:

ctype_alpha()
is_numeric()
preg_match()

Alternativamente, ma te lo sconsiglio, puoi abilitare i magic quotes nel
file di configurazione php.

L'esempio che riporti à un po' strano anche perchà quell' "into" farebbe
pensare ad una sql-injection, mentre quanto segue à chiaramente l'elenco
degli header di una mail...

Se posti il sorgente, penso di poterti dare una mano pià concreta...


Ciao!
  Can't dig that daddy.