Komentarze do: Wstrzykiwanie \n w preg_match() http://lukasz.pilorz.net/2007/05/03/wstrzykiwanie-n-w-preg_match/ Bezpieczeństwo aplikacji internetowych Thu, 04 Jun 2009 21:19:31 +0000 hourly 1 http://wordpress.org/?v=3.0 Autor: Łukasz Pilorz http://lukasz.pilorz.net/2007/05/03/wstrzykiwanie-n-w-preg_match/comment-page-1/#comment-356 Łukasz Pilorz Fri, 04 May 2007 17:51:28 +0000 http://lukasz.pilorz.net/index.php/2007/05/03/wstrzykiwanie-n-w-preg_match/#comment-356 Dokładnie, ten artykuł świetnie opisuje problem wstrzykiwania nagłówków mailowych, chociaż przyznam, że proponowane rozwiązania nie do końca mi się podobają. eregi() nie jest bezpieczna dla danych binarnych, a rozwiązywanie każdego problemu zewnętrznym (3rd party) patchem może szybko doprowadzić do sytuacji, w której nie jesteśmy w stanie aktualizować PHP do nowszej wersji. Proponowałbym preg_match() (whitelist) lub ewentualnie $header=str_replace(array("\r","\n"),array("",""),$header) (blacklist). Na marginesie: przykładowy formularz jest podatny na XSS (PHP_SELF). Dokładnie, ten artykuł świetnie opisuje problem wstrzykiwania nagłówków mailowych, chociaż przyznam, że proponowane rozwiązania nie do końca mi się podobają. eregi() nie jest bezpieczna dla danych binarnych, a rozwiązywanie każdego problemu zewnętrznym (3rd party) patchem może szybko doprowadzić do sytuacji, w której nie jesteśmy w stanie aktualizować PHP do nowszej wersji. Proponowałbym preg_match() (whitelist) lub ewentualnie $header=str_replace(array(„\r”,”\n”),array(„”,”"),$header) (blacklist).

Na marginesie: przykładowy formularz jest podatny na XSS (PHP_SELF).

]]> Autor: fabian http://lukasz.pilorz.net/2007/05/03/wstrzykiwanie-n-w-preg_match/comment-page-1/#comment-355 fabian Fri, 04 May 2007 17:22:45 +0000 http://lukasz.pilorz.net/index.php/2007/05/03/wstrzykiwanie-n-w-preg_match/#comment-355 http://www.securephpwiki.com/index.php/Email_Injection http://www.securephpwiki.com/index.php/Email_Injection

]]> Autor: Łukasz Pilorz http://lukasz.pilorz.net/2007/05/03/wstrzykiwanie-n-w-preg_match/comment-page-1/#comment-354 Łukasz Pilorz Fri, 04 May 2007 15:59:29 +0000 http://lukasz.pilorz.net/index.php/2007/05/03/wstrzykiwanie-n-w-preg_match/#comment-354 W wydanej wczoraj wersji PHP 5.2.2 zablokowana została możliwość wysyłania dodatkowych nagłówków w pierwszych dwóch parametrach funkcji mail(), ale czwarty parametr jest zawsze podatny na takie ataki, jeśli dane od użytkownika nie są odpowiednio filtrowane. W wydanej wczoraj wersji PHP 5.2.2 zablokowana została możliwość wysyłania dodatkowych nagłówków w pierwszych dwóch parametrach funkcji mail(), ale czwarty parametr jest zawsze podatny na takie ataki, jeśli dane od użytkownika nie są odpowiednio filtrowane.

]]> Autor: Łukasz Pilorz http://lukasz.pilorz.net/2007/05/03/wstrzykiwanie-n-w-preg_match/comment-page-1/#comment-353 Łukasz Pilorz Fri, 04 May 2007 15:54:41 +0000 http://lukasz.pilorz.net/index.php/2007/05/03/wstrzykiwanie-n-w-preg_match/#comment-353 Kolejne linie to kolejne nagłówki emaila, podobnie jak w przypadku dodatkowych nagłówków wstawianych w czwartym parametrze tej funkcji. Wstrzykując znak \n w przypadku funkcji mail() możemy doprowadzić do usunięcia następnych nagłówków lub wstawienia własnych (BCC, Content-Type, From, itp.). Akurat w funkcji mail() nie stwarza to zwykle niebezpieczeństwa (chociaż może pozwalać np. na wykorzystanie naszej aplikacji do rozprowadzania spamu), ale przy pomocy preg_match weryfikowane są najróżniejsze typy danych. Kolejne linie to kolejne nagłówki emaila, podobnie jak w przypadku dodatkowych nagłówków wstawianych w czwartym parametrze tej funkcji. Wstrzykując znak \n w przypadku funkcji mail() możemy doprowadzić do usunięcia następnych nagłówków lub wstawienia własnych (BCC, Content-Type, From, itp.).

Akurat w funkcji mail() nie stwarza to zwykle niebezpieczeństwa (chociaż może pozwalać np. na wykorzystanie naszej aplikacji do rozprowadzania spamu), ale przy pomocy preg_match weryfikowane są najróżniejsze typy danych.

]]> Autor: fabian http://lukasz.pilorz.net/2007/05/03/wstrzykiwanie-n-w-preg_match/comment-page-1/#comment-352 fabian Fri, 04 May 2007 12:00:42 +0000 http://lukasz.pilorz.net/index.php/2007/05/03/wstrzykiwanie-n-w-preg_match/#comment-352 .....hmmm, a czy jeżeli w adresie umieścimy dwa adresy e-mail (oddzielone \n) to czy funkcja mail() wyśle dwa maile? …..hmmm, a czy jeżeli w adresie umieścimy dwa adresy e-mail (oddzielone \n) to czy funkcja mail() wyśle dwa maile?

]]>