我正在使用php郵件功能,並且我有一個帶有名稱字段,電話字段,電子郵件字段和消息字段的表單,這是一個文本區域。電子郵件字段(以及名稱和電話字段)會顯示在郵件中,不會用於向該地址發送電子郵件。 To:字段和主題:字段和From:標題在腳本中是靜態的,並且始終保持相同。如何測試電子郵件注入
我最近試圖嘗試將電子郵件注入到我自己的腳本中,以便我可以知道我的預防措施是否正常工作。
我試過把字段放在 %0ATo:[email protected],還有%0ACc:[email protected],但是電子郵件根本沒有發送到正確的郵件地址。我只是想知道什麼是正確的方法來做到這一點,以及當我使用預防性方法,如識別字符串,並刪除它們或拒絕發送電子郵件,發送像%這樣的字符時,我也應該關注?
它看起來並不像使用表格直接輸入注射工作得很好。我使用the following來測試一個我正在放在一起的郵件程序,它會發布腳本中的數據。 $postData將不得不進行修改以適應您的表單。這只是一個個BCC「受害者」:
<?php
$postData =
'contactname=Lord+Sauron&'.
'[email protected]%0ABcc:[email protected]'.
'&message=Sorry+about+that+whole+ring+thing.+No+hard+feelings%3F';
$url = 'http://'.$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF']).'/onetrueformmailer.php';
$result = do_post_request($url, $postData);
echo($result);
// http://wezfurlong.org/blog/2006/nov/http-post-from-php-without-curl/
function do_post_request($url, $data, $optional_headers = null) {
$params = array('http' => array(
'method' => 'POST',
'content' => $data
));
if ($optional_headers !== null) {
$params['http']['header'] = $optional_headers;
}
$ctx = stream_context_create($params);
$fp = @fopen($url, 'rb', false, $ctx);
if (!$fp) {
throw new Exception("Problem with $url, $php_errormsg");
}
$response = @stream_get_contents($fp);
if ($response === false) {
throw new Exception("Problem reading data from $url, $php_errormsg");
}
return $response;
}
?>
你好, 有沒有你不使用CAPTCHA的原因嗎? 垃圾郵件可以抓取您的網站,查看聯繫人表單並手動將發佈的數據發送到表單的操作。然後,它將能夠發送任何會收到表格聯繫信息的垃圾郵件。 如果你想自己玩這個遊戲,你可以使用[Snoopy](http://sourceforge.net/projects/snoopy/)或其他任何可以讓你輕鬆發送發佈數據給你的圖書館形成。 如果您對收件人進行硬編碼或接受文件上傳,那麼對我而言,聽起來特別容易受到電子郵件注入的威脅。 – Andy
我正計劃使用captcha來防止垃圾郵件發送隨機表單,但我試圖做的是保護自己免受惡意用戶的侵害,但無論如何感謝您的回答,我會檢查Snoopy。 – Mathew
我認爲與電子郵件注入你指的是頭注入。 php ['mail'函數](http://php.net/manual/en/function.mail.php)有一些額外的標題可以進入電子郵件的文檔。 – hakre