Komentarze do wpisu 'Email injection' http://normanos.com/2006/03/17/email-injection/ ostatni heretyk na katolickiej ziemi Sun, 20 Jul 2008 22:21:09 +0000 http://wordpress.org/?v=2.5.1 By: » 100 dni adminowania mount /dev/normanos http://normanos.com/2006/03/17/email-injection/#comment-161 » 100 dni adminowania mount /dev/normanos Sat, 29 Apr 2006 09:00:07 +0000 http://normanos.com/dev/php/email-injection/#comment-161 [...] Człowiek się nawet nie zorientował a tu już minęło 100 dni od momentu jak postawiłem sobie serwer Może ogólnie 100 dni bez awarii i resetu to żaden wyczyn ale jak dla mnie, pseudo admina, wyuczonego na tutorialach z sieci to spore osiągnięcie W międzyczasie przeżyłem już kilka ataków na FTP (bruteforce), puszczenie spamu przez dziurawy skrypt, włam przez makabryczną dziurę w VHCS, a poza tym codziennie setki botów dobija się przez www w poszukiwaniu najpopularniejszych skryptów (phpBB, WordPress, awstats itp.). Cud, że serwer się jeszcze trzyma. Za jakiś czas chciałbym przenieść serwery do europy (Holandia, Niemcy?), ewentualnie do Polski (serwerydedykowane.pl o których już pisałem) o ile poprawią routing. Ale wtedy to już będę szukał porządnego admina do tej roboty, bo nauczyć się z sieci mozna wiele, ale czasu który trzeba na to poświęcić to zliczyć się nie da. A czas to pieniądz. [...] [...] Człowiek się nawet nie zorientował a tu już minęło 100 dni od momentu jak postawiłem sobie serwer Może ogólnie 100 dni bez awarii i resetu to żaden wyczyn ale jak dla mnie, pseudo admina, wyuczonego na tutorialach z sieci to spore osiągnięcie W międzyczasie przeżyłem już kilka ataków na FTP (bruteforce), puszczenie spamu przez dziurawy skrypt, włam przez makabryczną dziurę w VHCS, a poza tym codziennie setki botów dobija się przez www w poszukiwaniu najpopularniejszych skryptów (phpBB, WordPress, awstats itp.). Cud, że serwer się jeszcze trzyma. Za jakiś czas chciałbym przenieść serwery do europy (Holandia, Niemcy?), ewentualnie do Polski (serwerydedykowane.pl o których już pisałem) o ile poprawią routing. Ale wtedy to już będę szukał porządnego admina do tej roboty, bo nauczyć się z sieci mozna wiele, ale czasu który trzeba na to poświęcić to zliczyć się nie da. A czas to pieniądz. [...]

]]> By: Całek http://normanos.com/2006/03/17/email-injection/#comment-120 Całek Fri, 07 Apr 2006 15:22:23 +0000 http://normanos.com/dev/php/email-injection/#comment-120 Kiedyś pisałem o tym samym problemie u siebie: http://calek.info/index.php?showNews=228 Na szczęście nie wykorzystano mnie tak, jak Ciebie ;>) Kiedyś pisałem o tym samym problemie u siebie:
http://calek.info/index.php?showNews=228

Na szczęście nie wykorzystano mnie tak, jak Ciebie ;>)

]]> By: XaV1er http://normanos.com/2006/03/17/email-injection/#comment-116 XaV1er Sat, 18 Mar 2006 16:54:03 +0000 http://normanos.com/dev/php/email-injection/#comment-116 mnie sie zdaje, ze tutaj kluczowa funkcja to checkdnsrr($host, MX), no bo przy typowym email injection (dopisanie dodatkowych linii do email headera w polu formularza) nigdy nie powinna zwrocic true ... no chyba, jak juz napisalem, sie myle ;) nie testowalem. mnie sie zdaje, ze tutaj kluczowa funkcja to checkdnsrr($host, MX), no bo przy typowym email injection (dopisanie dodatkowych linii do email headera w polu formularza) nigdy nie powinna zwrocic true … no chyba, jak juz napisalem, sie myle ;) nie testowalem.

]]> By: normanos http://normanos.com/2006/03/17/email-injection/#comment-115 normanos Sat, 18 Mar 2006 13:46:23 +0000 http://normanos.com/dev/php/email-injection/#comment-115 Nie jestem specjalistą ale chyba się mylisz bo ja też miałem sprawdzanie poprawności emaila (chociaż może diabeł tkwi w szczegółach tj. tutaj w wyrażeniach regularnych), a spam przeszedł. Niestety nie orientuje się w mailach i kodowaniu mime ale na stronie do której dałem linka w tekście jest to dokładnie opisane wraz z przykładami. Nie jestem specjalistą ale chyba się mylisz bo ja też miałem sprawdzanie poprawności emaila (chociaż może diabeł tkwi w szczegółach tj. tutaj w wyrażeniach regularnych), a spam przeszedł. Niestety nie orientuje się w mailach i kodowaniu mime ale na stronie do której dałem linka w tekście jest to dokładnie opisane wraz z przykładami.

]]> By: XaV1er http://normanos.com/2006/03/17/email-injection/#comment-114 XaV1er Sat, 18 Mar 2006 13:20:04 +0000 http://normanos.com/dev/php/email-injection/#comment-114 Witam, ja przy formularzy kontaktowym stosuje weryfikacje adresu email (funkcje wklejam ponizej), ktora wg mnie takze zapobiega stosowaniu email injections ... no chyba ze sie myle? :) // weryfikacja poprawnosci adresu email function verifyEmail($email) { $wholeexp = '/^(.+?)@(([a-z0-9\.-]+?)\.[a-z]{2,5})$/i'; $userexp = "/^[a-z0-9\~\!\#\$\%\&\(\)\-\_\+\=\[\]\;\:\'\"\,\.\/]+$/i"; if (preg_match($wholeexp, $email, $regs)) { $username = $regs[1]; $host = $regs[2]; if (checkdnsrr($host, MX)) { if (preg_match($userexp, $username)) { return true; } else { return false; } } else { return false; } } else { return false; } } Witam,

ja przy formularzy kontaktowym stosuje weryfikacje adresu email (funkcje wklejam ponizej), ktora wg mnie takze zapobiega stosowaniu email injections … no chyba ze sie myle? :)

// weryfikacja poprawnosci adresu email
function verifyEmail($email) {
$wholeexp = ‘/^(.+?)@(([a-z0-9\.-]+?)\.[a-z]{2,5})$/i’;
$userexp = “/^[a-z0-9\~\!\#\$\%\&\(\)\-\_\+\=\[\]\;\:\’\”\,\.\/]+$/i”;
if (preg_match($wholeexp, $email, $regs)) {
$username = $regs[1];
$host = $regs[2];
if (checkdnsrr($host, MX)) {
if (preg_match($userexp, $username)) {
return true;
} else {
return false;
}
} else {
return false;
}
} else {
return false;
}
}

]]>