MUY
IMPORTANTE !!
ALERTA DE SEGURIDAD
Queremos informarles acerca de la creciente modalidad de abuso de formularios
Web que utilizan PHP con el objetivo de enviar SPAM.
Esta modalidad aprovecha la forma en que la función mail() de PHP funciona
y se conoce como "Headers Mail Injection" . Consiste en aprovecharse
de formularios de sitios web que utilizan esta función para el envío
de los datos ingresados por el visitante (por ejemplo un formulario de contacto
o consulta) donde no se validen los datos en forma correcta para evitar
este tipo de abusos. Para evitar el abuso de nuestros formularios, en el script PHP que implementa
la función mail debemos verificar que no nos estén llegando, como
parámetros o variables a través del post, datos no esperados.
Por ejemplo, podríamos verificar la existencia de caracteres no esperados
como un retorno de carro ( /r ) o chequear otras variables más como el
largo de los campos, el que exista sólo un “@” u otras verificaciones
posibles.
A continuación adjuntamos un pequeño ejemplo, asimismo pueden consultar
a nuestro departamento técnico para mayor información al respecto.
Ejemplo:
verificar que en los campos no exista un retorno de carro:
<?php $from=$_POST["sender"];
if (eregi("\r",$from) || eregi("\n",$from)){
die("Why ?? :("); } ?>
Recuerden que si su sitio es abusado, podrían llegar
denuncias de SPAM en su contra; llegando incluso a la pérdida
del derecho de uso del nombre del dominio.
Por otra parte, si el ataque es muy notorio no tenemos otra opción que
sacar de línea su sitio momentáneamente hasta que sea segurizado
el script abusado. |
