Sécurisation du formulaire d'inscrition wanewsletter piraté

[tatoche70]

Bonjour,
Je voudrais savoir comment sécuriser
le formulaire d'inscription et des-inscription
dont le chemin est paramétré dans le menu d'administration de wanewsletter : "Informations sur la liste de diffusion".

En effet, cette page formulaire est utilisé semble t'il par un robot pirate.

Mon hébergeur a bloquer mon site et m'a alerté que ce formulaire
est utilisé semble t'il par un robot pirate.

Je ne sais quoi et comment corriger ce problème de sécurité :
1 - captcha??
2 - on m'a parlé d'ajouter un champ caché et de tester sa valorisation, s'il est valorisé, c'est qu'il est alimenté par un robot.

Tout ceci est difficile à mettre en place car les contrôles sont effectués au sein newsletter.php.

3- Je peux me contacter de renommer le formulaire en priant que le pirate ne repassera pas de si tôt.
Quelqu'un a du déjà avoir le problème.

Voici le code de mon formulaire :
<?php
define('IN_WA_FORM', true);
define('WA_ROOTDIR', '/homez.44/racine/www/Nletter-2.3.2');

include WA_ROOTDIR . '/newsletter.php';
$email="";
if(!empty($_POST['email_addr']))
{
$email=$_POST['email_addr'];
}
?>
<html>
<head>
<title>Abonnez vous à lettre nom du site</title>
</head>

<body>
Pour recevoir la lettre Mon Site
<form method="post" action="http://www.mondomaine.com/formulaire.php">
Saisir votre adresse email : <input type="text" name="email" maxlength="100" value="<?php echo $email; ?>"/> &nbsp;
<input type="hidden" name="format" value="2" />
<input type="hidden" name="liste" value="3" />
<br />
<input type="radio" name="action" value="inscription" checked="checked" /> Inscription <br />
<input type="radio" name="action" value="des-inscription" /> Désinscription <br />
<input type="submit" name="wanewsletter" value="Valider" />
</form>
</html>

Merci à tous!!!

Parmètre technique :
Vesion wanwnewslette : wanewsletter-2.3.2
Version php4
hebergeur ovh plan90
Option smtp : non
Moteur d'envoi utilisé par Wanewsletter : 5 envois mail/abonné
demande de confirmation d'inscription par email

 

[julienr]

salut,

cela fait déjà quelques années que je suis tranquille sur mes formulaires après avoir ajouter cette protection maison, c'est du javascript, alors certain diront que si le javascript de ton internaute est désactivé il ne pourra pas poster, d'autres rajouteront que tu peux compléter avec une balise noscript pour prévenir ce même internaute de la non conformité de son navigateur avec ton site...

voici le code en question :

<script type="text/javascript">
document.write( '<inp' );
document.write( 'ut nam' );
document.write( 'e="post" va' );
document.write( 'lue="11" ty' );
document.write( 'pe="hid' );
document.write( 'den">' );
</script>

puis dans ta page il faut que cette valeur existe en d'autre terme :

if(!empty($_POST['email_addr']) && !empty($_POST['post']) && $_POST['post'] == '11')
{
$email=$_POST['email_addr'];
}

 

[1-sponsor]

Je ne saurais pas t'aider, mais le sujet m'intéresse aussi puisque j'utilise Wanewsletter... Ce serait sympa, si tu trouve la solution ailleurs, de le remonter ici. Je compte sur toi :wink:

 

[julienr]

c'est pas une solution pour toi ce que j'ai écrit au dessus ?

 

[1-sponsor]

c'est pas une solution pour toi ce que j'ai écrit au dessus ?

Mes formulaires sont protégé avec un captcha, mais étant un script dont le code est ouvert à tous, je pense qu'il y a d'autres problèmes de sécurité, d'un autre type... Accéder directement à la page d'envoi depuis nul part.

 

[julienr]

La dans ce topic precis on parle de robot spameur qui se balade de site en site a la recherche de formulaire qu I'll savent detecter et soumettre, pas d une attaque deliberee sur une page precise, car dans le premier cas une protection en js ou css peux suffir dans le second cas c est pas au niveau applicatif qu I'll faudrait intervenir mais a un niveau en dessous au niveau du parametrage du serveur

 

[tatoche70]

Merci Julien, j'ai implémenté ton code en espérant que cela sécurisera mon formulaire.

- Pour plus d'infos,
le message d'ovh que j'ai reçu est le suivant :
"
Problème rencontré : Script flooding mailout
Commande apparente : php.ORIG.4 -c /usr/local/lib/php.ini -d register_globals 1 -d magic_quotes_gpc 1 -d session.use_trans_sid 1 formulaire.php
Exécutable utilisé : N-A
Horodatage: Wed Oct 28 14:34:42 CET 2009
Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.
Si ce n'est pas vous qui avez lancé ce script, cela signifie
qu'il y a une faille sur votre site et qu'un hacker s'en
est servi pour réaliser cette opération.
Nous avons désactivé l'accès web temporairement pour éviter tout
risque de nouveau piratage.
"
- le fichier formulaire.php contient le code que je vous ai transmis lors de mon premier message.
- il semble que le robot pirate attaque directement mon formulaire.
- j'ai renommer le formulaire et j'ai implémenté ton code.

 

[1-sponsor]

Oui mais avec ton formulaire d'inscription, on sait s'inscrire, pas lancer l'envoi des mails... Je pense que ça vient d'ailleurs... Comme tantot, merci de nous tenir au jus :-D

 

[julienr]

sauf si le formulaire envoi justement un mail de confirmation d'inscription ou le mail newsletter du moment ?

 

[doncarlos]

C'est le cas, il y a un mail de confirmation.