will mein kontaktformular auf sicherheitslücken testen.. aber wie ?

[4ever]

Hi,,
hoffentlich gibt es diese Frage nicht schon in diesem Forum. Ich habe aber die Suchfunktion benutzt und nix finen können..

Ich will mein Kontaktformular testen ..
habe schon vieles über "header injection" oder "email injection" im Netz gelesen aber nirgends steht wie man selber sein Formular austriksen kann ...
Habe alle meine Daten per header injection verändern können.
Der schriftzug DANKE MAIL WURDE VERSENDET erscheint auf dem Monitor...
also wurde das Formular ( mail() ) ausgeführt.
Doch wenn ich meine emailacc überpfüfe, finde ich keine neuen mails..
Ich habe es mit mehreren mailadressen versucht aber nix geht ...

Muß ich selber noch den Zeitstempel setzen oder sowas
bin mit meinem Latein am ende...

vll kann mir ja einer helfen .. wenn solche Themen nicht übers Forum besprochen werden sollen dann bitte per PN an mich

danke

 

[Chaosengel_Gabriel]

Benutz zum Mails verschicken die folgende Funktion:

function sendMsg($email)
{
   $headers .= "From: ".$email["name"]." <".$email["from"].">\n";
   $headers .= "Reply-To: ".$email["name"]." <".$email["from"].">\n";
   $headers .= "X-Sender: ".$email["name"]." <".$email["from"].">\n";
   $headers .= "X-Mailer: PHP\n";
   $headers .= "Return-Path: ".$email["name"]." <".$email["from"].">\n";
   $check = mail($email["address"], $email["subject"], $email["message"], $headers);
   return $check;
}

$email = array("from" => "email@absender.de", "name" => "Name des Absenders", "subject" => "Der Betreff", "address" => "Empfaenger Adresse", "message" => "Email Nachricht");

print sendMsg($email) ? 'Mail gesendet' : 'Fehler beim Versenden' ;

Damit kann man so ziemlich IMMER die Mails verschicken...

 

[Gumbo]

Bei beiden Sicherheitslücken werden bestimmte Metazeichen in einem Kontext eingesetzt, in dem sie vom Autor nicht erlaubt sind.
Um herauszufinden, ob ein Skript diese Sicherheitslücken aufweist, müssen diese nicht erlaubten Metazeichen gezielt eingesetzt werden. Ein Beispiel:

$header = 'From: '.$address;

Wenn $address nun den Wert "user@example\r\nBcc: user2@example, user3@example, … usern@example" enthält, wird $header folgenden Wert haben:

From: user@example
Bcc: user2@example, user3@example, … usern@example

Und – voilà – wird die E-Mail gleichzeitig als Blindkopie an viele andere versendet.