|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
aventvoy
WRInaute occasionnel
Inscrit le: 17 Nov 2004
Messages: 169
Localisation: Canada
|
 Posté le : Sam Mar 29, 2008 20:29 Sujet du message: Formulaire détourné? |
|
|
Hello,
J'ai un simple formulaire de contact sur un site, et lorsque l'utilisateur l'a rempli, clique sur "envoyer" et je le reçois par courriel.
Depuis quelques temps, je reçois des messages bidons du style ci dessous :
| Citation: |
Un visiteur du site (je censure...) a fait la demande d'information suivante :
OmFO mdsThfgbDylPuUxu ingiborg
peut être contacté(e) par email à : (je censure )@mail.com
Ce visiteur souhaite voyager du : bbbNjLDkqDHBPnCiho au dBjVVjcvvE
Nombre de personnes enfants compris : fOuXSvDPqlQOnvdiq
La question suivante a été posée :
|
et dans "la question etc." il y a un liste très longue de mots clefs, souvent pour des produits de marque (genre ceux qui font des bagages, ou des parfums, pour ne nommer personne...). C'est visiblement du spam, apparemment rentré par une machine et pas par un "humain"
Ma question est simple : d'où ça sort, comment c'est possible, et surtout comment éviter ça? Comme les données entrées sont du texte simple, difficile de mettre des regex pour réguler le tout...
Merci pour vos avis et conseils,
A. |
|
| |
|
 |
Marie-Aude
WRInaute accro
Inscrit le: 05 Juin 2006
Messages: 3398
Localisation: More than a plastic girl
|
| Posté le : Sam Mar 29, 2008 20:49 Sujet du message: Formulaire détourné? |
|
|
| ça sort de robots, c'est possible très simplement (ils envoient les informations automatiquement) et pour éviter ça on commence par un captcha ou par un champ caché. L'idée c'est que le champ caché doit rester vide et que seul un robot le remplira, donc si le champs est rempli, poubelle |
|
| |
|
|
aventvoy
WRInaute occasionnel
Inscrit le: 17 Nov 2004
Messages: 169
Localisation: Canada
|
| Posté le : Sam Mar 29, 2008 21:16 Sujet du message: Formulaire détourné? |
|
|
Merci M.A. pour la réponse rapide!
Je ne sais pas ce qu'est un "captcha", donc je vais chercher (je suppose que je trouverai sur le siteduzéro, ou sur php.net).
J'aime bien l'idée du champ caché pour tromper l'adversaire  Je vais travailler dans ce sens.
Bonne continuation et merci pour tes nombreuses participations judicieuses à ce forum!
A. |
|
| |
|
|
keroin
WRInaute accro
Inscrit le: 29 Avr 2006
Messages: 2110
|
| Posté le : Sam Mar 29, 2008 21:26 Sujet du message: Formulaire détourné? |
|
|
+1 avec l'idée du captcha (code généré automatiquement dans une image que l'internaute doit rentrer pour valider l'envoi de son message).
Tu as également la possibilité de renommer le fichier contenant le script de ton formulaire, ils sont généralement appelés "contact" ou un nom similaire donc les bots les trouvent très facilement.
Renomme le avec un autre nom qui n'a rien à voir et tu seras surement moins "attaqué"  |
|
| |
|
|
webmasterdemonsite
WRInaute impliqué
Inscrit le: 01 Sep 2007
Messages: 412
|
| Posté le : Sam Mar 29, 2008 21:31 Sujet du message: Formulaire détourné? |
|
|
| les champs de tes formulaires sont ils protégés par htmlentities ? |
|
| |
|
|
aventvoy
WRInaute occasionnel
Inscrit le: 17 Nov 2004
Messages: 169
Localisation: Canada
|
| Posté le : Sam Mar 29, 2008 22:34 Sujet du message: Formulaire détourné? |
|
|
Hello Keroin,
Merci pour la suggestion. La page du formulaire ne s'appelle déjà pas "contact", donc le(s) robot(s) a du la trouver autrement... Je vais de toute façon la renommer, des fois qu'elle soit dans une bdd de cibles à utiliser...
Webmasterdemonsite :
Merci. Les champs ne sont pas protégés par htmlentities, je ne sais même pas ce que c'est, mais je vais trouver et mettre en place si ça s'applique au cas en question.
Est-ce qu'il y a une fonction spéciale qui regrouperait toutes les protections possibles, genre htmlentities et stripslashes et d'autres que je ne connais pas?
Bye,
A. |
|
| |
|
|
Djoule_logo
WRInaute passionné
Inscrit le: 30 Mai 2007
Messages: 660
|
| Posté le : Sam Mar 29, 2008 23:23 Sujet du message: Formulaire détourné? |
|
|
Une autre solution assez simple aussi qui limitera seulement les attaques : tes champs de dates ne doivent contenir que des chiffres sinon ça bloque l'envoie.
Les robots un peu evolué en voyant un champ "date" te mettront une vrai date, mais ça permet de bloquer les autres qui t'envoie du "lkglyguyyil" |
|
| |
|
|
aventvoy
WRInaute occasionnel
Inscrit le: 17 Nov 2004
Messages: 169
Localisation: Canada
|
| Posté le : Dim Mar 30, 2008 3:14 Sujet du message: Formulaire détourné? |
|
|
C'est vrai, merci Djoule, je vais mettre une regex au milieu...
A. |
|
| |
|
|
ybet
WRInaute accro
Inscrit le: 22 Nov 2003
Messages: 5366
Localisation: un .be à Chiny (Belgique) perdu sur Google.fr ...
|
| Posté le : Dim Mar 30, 2008 3:35 Sujet du message: Formulaire détourné? |
|
|
Change simplement le formulaire, je suis en train de le faire, remplace le nom du champ email, imail , mail par tttt (c'est un exemple ....
pourtant, la semaine derniière, j'avais ajouté vériffication du mom de domaine de l'adresse mail ..;yaho.com, redirection de yahoo.com (pas de chance). |
|
| |
|
|
aventvoy
WRInaute occasionnel
Inscrit le: 17 Nov 2004
Messages: 169
Localisation: Canada
|
| Posté le : Dim Mar 30, 2008 4:11 Sujet du message: Formulaire détourné? |
|
|
Ybet,
Tu veux dire remplacer
<input type="text" name="email" maxlength="40" class="cases" value="" />
par
<input type="text" name="xyzetc" maxlength="40" class="cases" value="" />
et remplacer donc $email = $_POST['email']; par $xyzetc = $_POST['xyzetc'];
c'est ça? |
|
| |
|
|
Orion33
WRInaute occasionnel
Inscrit le: 20 Aoû 2004
Messages: 234
Localisation: Bordeaux
|
| Posté le : Dim Mar 30, 2008 11:44 Sujet du message: Formulaire détourné? |
|
|
| Les formulaires de contact, c'est relou. En plus si il faut se taper un captcha, perso je passe mon tour.. |
|
| |
|
|
Leonick
WRInaute accro
Inscrit le: 08 Aoû 2004
Messages: 8805
Localisation: Val de Marne
|
| Posté le : Dim Mar 30, 2008 14:41 Sujet du message: Formulaire détourné? |
|
|
| aventvoy a écrit: |
| par $xyzetc = $_POST['xyzetc']; |
en fait juste par
| Code: |
| $email= $_POST['xyzetc']; |
|
|
| |
|
|
Hoho
WRInaute passionné
Inscrit le: 10 Jan 2006
Messages: 514
|
| Posté le : Dim Mar 30, 2008 18:48 Sujet du message: Formulaire détourné? |
|
|
| Marie-Aude a écrit: |
| ça sort de robots, c'est possible très simplement (ils envoient les informations automatiquement) et pour éviter ça on commence par un captcha ou par un champ caché. L'idée c'est que le champ caché doit rester vide et que seul un robot le remplira, donc si le champs est rempli, poubelle |
J'en apprends chaque jour! Merci Marie-Aude.
Aurais-tu un lien à me passer pour approfondir cette méthode? Ton bout de code ressemble à quoi |
|
| |
|
|
webmasterdemonsite
WRInaute impliqué
Inscrit le: 01 Sep 2007
Messages: 412
|
| Posté le : Lun Mar 31, 2008 0:59 Sujet du message: Formulaire détourné? |
|
|
| aventvoy a écrit: |
Hello Keroin,
Merci pour la suggestion. La page du formulaire ne s'appelle déjà pas "contact", donc le(s) robot(s) a du la trouver autrement... Je vais de toute façon la renommer, des fois qu'elle soit dans une bdd de cibles à utiliser...
Webmasterdemonsite :
Merci. Les champs ne sont pas protégés par htmlentities, je ne sais même pas ce que c'est, mais je vais trouver et mettre en place si ça s'applique au cas en question.
Est-ce qu'il y a une fonction spéciale qui regrouperait toutes les protections possibles, genre htmlentities et stripslashes et d'autres que je ne connais pas?
Bye,
A. |
 http://www.webmaster-hub.com/publication/Securite-et-formulaire-PHP.html
c'est quoi stripslashes ? |
|
| |
|
|
keroin
WRInaute accro
Inscrit le: 29 Avr 2006
Messages: 2110
|
| Posté le : Lun Mar 31, 2008 1:11 Sujet du message: Formulaire détourné? |
|
|
| webmasterdemonsite a écrit: |
c'est quoi stripslashes ? |
http://fr3.php.net/stripslashes |
|
| |
|
|
| |
|
|
