Formulaire détourné?

aventvoy · 29 Mars 2008

Hello,
J'ai un simple formulaire de contact sur un site, et lorsque l'utilisateur l'a rempli, clique sur "envoyer" et je le reçois par courriel.
Depuis quelques temps, je reçois des messages bidons du style ci dessous :

Un visiteur du site (je censure...) a fait la demande d'information suivante :
OmFO mdsThfgbDylPuUxu ingiborg
peut être contacté(e) par email à : (je censure )@mail.com
Ce visiteur souhaite voyager du : bbbNjLDkqDHBPnCiho au dBjVVjcvvE
Nombre de personnes enfants compris : fOuXSvDPqlQOnvdiq
La question suivante a été posée :

et dans "la question etc." il y a un liste très longue de mots clefs, souvent pour des produits de marque (genre ceux qui font des bagages, ou des parfums, pour ne nommer personne...). C'est visiblement du spam, apparemment rentré par une machine et pas par un "humain"

Ma question est simple : d'où ça sort, comment c'est possible, et surtout comment éviter ça? Comme les données entrées sont du texte simple, difficile de mettre des regex pour réguler le tout...

Merci pour vos avis et conseils,
A.

Marie-Aude · 29 Mars 2008

ça sort de robots, c'est possible très simplement (ils envoient les informations automatiquement) et pour éviter ça on commence par un captcha ou par un champ caché. L'idée c'est que le champ caché doit rester vide et que seul un robot le remplira, donc si le champs est rempli, poubelle

aventvoy · 29 Mars 2008

Merci M.A. pour la réponse rapide!
Je ne sais pas ce qu'est un "captcha", donc je vais chercher (je suppose que je trouverai sur le siteduzéro, ou sur php.net).
J'aime bien l'idée du champ caché pour tromper l'adversaire :twisted: Je vais travailler dans ce sens.
Bonne continuation et merci pour tes nombreuses participations judicieuses à ce forum!
A.

keroin · 29 Mars 2008

+1 avec l'idée du captcha (code généré automatiquement dans une image que l'internaute doit rentrer pour valider l'envoi de son message).
Tu as également la possibilité de renommer le fichier contenant le script de ton formulaire, ils sont généralement appelés "contact" ou un nom similaire donc les bots les trouvent très facilement.
Renomme le avec un autre nom qui n'a rien à voir et tu seras surement moins "attaqué"

webmasterdemonsite · 29 Mars 2008

les champs de tes formulaires sont ils protégés par htmlentities ?

aventvoy · 29 Mars 2008

Hello Keroin,
Merci pour la suggestion. La page du formulaire ne s'appelle déjà pas "contact", donc le(s) robot(s) a du la trouver autrement... Je vais de toute façon la renommer, des fois qu'elle soit dans une bdd de cibles à utiliser...
Webmasterdemonsite :
Merci. Les champs ne sont pas protégés par htmlentities, je ne sais même pas ce que c'est, mais je vais trouver et mettre en place si ça s'applique au cas en question.
Est-ce qu'il y a une fonction spéciale qui regrouperait toutes les protections possibles, genre htmlentities et stripslashes et d'autres que je ne connais pas?
Bye,
A.

Djoule_logo · 29 Mars 2008

Une autre solution assez simple aussi qui limitera seulement les attaques : tes champs de dates ne doivent contenir que des chiffres sinon ça bloque l'envoie.
Les robots un peu evolué en voyant un champ "date" te mettront une vrai date, mais ça permet de bloquer les autres qui t'envoie du "lkglyguyyil"

aventvoy · 30 Mars 2008

C'est vrai, merci Djoule, je vais mettre une regex au milieu...
A.

ybet · 30 Mars 2008

Change simplement le formulaire, je suis en train de le faire, remplace le nom du champ email, imail , mail par tttt (c'est un exemple ....

pourtant, la semaine derniière, j'avais ajouté vériffication du mom de domaine de l'adresse mail ..;yaho.com, redirection de yahoo.com (pas de chance).

aventvoy · 30 Mars 2008

Ybet,
Tu veux dire remplacer
<input type="text" name="email" maxlength="40" class="cases" value="" />
par
<input type="text" name="xyzetc" maxlength="40" class="cases" value="" />
et remplacer donc $email = $_POST['email']; par $xyzetc = $_POST['xyzetc'];

c'est ça?

Orion33 · 30 Mars 2008

Les formulaires de contact, c'est relou. En plus si il faut se taper un captcha, perso je passe mon tour..

Leonick · 30 Mars 2008

aventvoy a dit:
par $xyzetc = $_POST['xyzetc'];

en fait juste par

Code:

$email= $_POST['xyzetc'];

Hoho · 30 Mars 2008

Marie-Aude a dit:
ça sort de robots, c'est possible très simplement (ils envoient les informations automatiquement) et pour éviter ça on commence par un captcha ou par un champ caché. L'idée c'est que le champ caché doit rester vide et que seul un robot le remplira, donc si le champs est rempli, poubelle

J'en apprends chaque jour! Merci Marie-Aude.
Aurais-tu un lien à me passer pour approfondir cette méthode? Ton bout de code ressemble à quoi

webmasterdemonsite · 31 Mars 2008

aventvoy a dit:
Hello Keroin,
Merci pour la suggestion. La page du formulaire ne s'appelle déjà pas "contact", donc le(s) robot(s) a du la trouver autrement... Je vais de toute façon la renommer, des fois qu'elle soit dans une bdd de cibles à utiliser...
Webmasterdemonsite :
Merci. Les champs ne sont pas protégés par htmlentities, je ne sais même pas ce que c'est, mais je vais trouver et mettre en place si ça s'applique au cas en question.
Est-ce qu'il y a une fonction spéciale qui regrouperait toutes les protections possibles, genre htmlentities et stripslashes et d'autres que je ne connais pas?
Bye,
A.

:arrow: http://www.webmaster-hub.com/publicatio ... e-PHP.html

c'est quoi stripslashes ?

keroin · 31 Mars 2008

webmasterdemonsite a dit:
c'est quoi stripslashes ?

http://fr3.php.net/stripslashes

aventvoy · 31 Mars 2008

En fait la fonction stripslashes ne s'applique pas vraiment ici...
C'est pour éviter d\'avoir ce type d\'affichage dans un retour de formulaire...
Voir http://ca.php.net/manual/fr/function.stripslashes.php pour plus de détails...
Et merci pour le lien securite-et-formulaire-PHP !

aventvoy · 31 Mars 2008

Keroin a été plus rapide que moi... :wink:

aventvoy · 31 Mars 2008

Marie-Aude a écrit:
ça sort de robots, c'est possible très simplement (ils envoient les informations automatiquement) et pour éviter ça on commence par un captcha ou par un champ caché. L'idée c'est que le champ caché doit rester vide et que seul un robot le remplira, donc si le champs est rempli, poubelle

Hoho a écrit:
J'en apprends chaque jour! Merci Marie-Aude.
Aurais-tu un lien à me passer pour approfondir cette méthode? Ton bout de code ressemble à quoi

Voilà ce à quoi je suis arrivé :

Code:

<INPUT type="hidden" value="" name="hidden"></td>

et pour t'assurer que le champ est vide lors de l'envoi :

Code:

 if ($hidden !== ' ')
		{
            print "<li>message d'erreur, ou autre action que tu décides</li>\n";
        }

Maintenant, je ne suis pas certain à 100% que ça marche, je suis pas un robot alors je peux pas tester... :?