WN - Nigeria brev&spamm boot i formulär

WN (https://www.wn.se/forum/index.php)

- Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)

- - Nigeria brev&spamm boot i formulär (https://www.wn.se/forum/showthread.php?t=23387)

Hej.
Jag och min kollega driver en sida jag inte vill uttala mig om vilken det är.
Men hur som helst.
Ikväll när jag loggade in på min webmail för att läsa lite så har jag fått ett brev från fly förbannade besökare&kunder och även min kollega.

Alla som har annonserat något har fått ett ett nigeriabrev :(

Jag har ingen aning om hur jag ska lösa detta för att säkerhet är inte min starka sida :( :(

Här nedan finns en kodsnutt för formuläret.

Skulle vara guld värt om någon här på wn har någon lust att hjälpa till.

Formulär

Citat:

<table cellpadding="0" cellspacing="0" style="margin-bottom : 20px">
<tr>
<td background="gfx/topichouse.jpg" width="35" height="31"></td>
<td width="5"></td>
<td><h1>Direktsvar på annons: "'.$row->ad_topic.'"</h1></td>
</tr>
</table>

<form action="receiver.php" method="post" target="recframe">
<input type="Hidden" name="action" value="Svara">
<input type="hidden" name="id" value="'.md5($row->advert_id).'">
<table>
<tr>
<td>Namn:</td>
<td><input type="Text" name="name" style="width:150px;" class="textfield" /></td>
</tr>
<tr>
<td>Telefon:</td>
<td><input type="Text" name="phone" style="width:150px;" class="textfield" /></td>
</tr>
<tr>
<td>E-post:</td>
<td><input type="Text" name="email" style="width:400px;" class="textfield" /></td>
</tr>
<tr>
<td>Rubrik:</td>
<td><input type="Text" name="subject" style="width:400px;" value=\'Ang. "'.$row->ad_topic.'"\' class="textfield" readonly /></td>
</tr>
<tr>
<td valign="top">Meddelande:</td>
<td><textarea name="msg" style="width:400px; height:150px;"></textarea></td>
</tr>
<tr>
<td></td>
<td><input type="Submit" class="button" value="Skicka" name="subbtn" /></td>
</tr>
</table>

</form>

Function

Citat:

function sendemail($to = '', $subject = '', $message = ''){

// To send HTML mail, the Content-type header must be set
$headers = 'MIME-Version: 1.0' . "\r\n";
$headers .= 'Content-type: text/html; charset=iso-8859-1' . "\r\n";

// Additional headers
$headers .= 'To: ' .$to. "\r\n";
$headers .= 'From: DINSIDA.SE <[email protected]>' . "\r\n";
$headers .= 'Cc: [email protected]' . "\r\n";
$headers .= 'Bcc: [email protected]' . "\r\n";

// Mail it
mail($to, $subject, $message, $headers);

Lägg in en captcha:
http://www.captcha.net/

Brukar stoppa dom flesta...

Vill du göra något basic själv så visa några random bokstäver på formuläret, och be dom sedan skriva in dom där i forumuläret där du kollar om det stämmer med det han fick.

Citat:

Originally posted by gsoc@Sep 5 2007, 03:41
Lägg in en captcha:
http://www.captcha.net/

Brukar stoppa dom flesta...

Vill du göra något basic själv så visa några random bokstäver på formuläret, och be dom sedan skriva in dom där i forumuläret där du kollar om det stämmer med det han fick.

Har redan blivit tipsad om det, men tack endå:)
Helst skulle jag vilja om man kan ändra på koden istället om det går?

pokerstjärna>> Varför vill du inte tala om vilken sida det var? Kopierade tre i ord i texten så hade Google hittat den på någon sekund... =)

Men, i vilket fall, om du inte har så bra koll på programmering och säkerhet verkar det inte så smart att ha ett oskyddat mailformulär på din sida, jag skulle nog tagit bort den funktionen!
Att lägga in egna frågor på svenska (behöver inte ens vara slumpade) eller att åtminstonde döpa om namnen på fälten så att bottarna inte känner igen dem så enkelt (t.ex. inte kalla fältet "msg" utan t.ex. "xfwaserjkl34") kan fungera, åtminstonde ett tag. Men den enda seriösa lösningen på en sida som din tycker jag är att implementera ett riktigt captcha-system!

Citat:

Originally posted by mersault@Sep 5 2007, 09:27
pokerstjärna>> Varför vill du inte tala om vilken sida det var? Kopierade tre i ord i texten så hade Google hittat den på någon sekund... =)

Men, i vilket fall, om du inte har så bra koll på programmering och säkerhet verkar det inte så smart att ha ett oskyddat mailformulär på din sida, jag skulle nog tagit bort den funktionen!
Att lägga in egna frågor på svenska (behöver inte ens vara slumpade) eller att åtminstonde döpa om namnen på fälten så att bottarna inte känner igen dem så enkelt (t.ex. inte kalla fältet "msg" utan t.ex. "xfwaserjkl34") kan fungera, åtminstonde ett tag. Men den enda seriösa lösningen på en sida som din tycker jag är att implementera ett riktigt captcha-system!

För att jag inte tycker att det spelar någon som helst roll.
okej bra.

Jag har inte 100% koll på programmeringen igentligen sköter våran kodare detta men han är i stockholm på semster nu i några dagar och därför undrar jag om någon kan hjälpa mig endast tillfälligt.

Ja men problemet är att JAG inte VET HUR MAN GÖR.
Men om det skulle finnas någon guide hade jag säkert klarat av det.

Om man ändrar kod som du säger från"msg" till "xfwaserjkl34" då ser den som får mailet inte vad som står i text.

nej.. ändrar man fältens namn måste det också ändras i koden som skickar mailet naturligtvis

Det är dock en tillfällig lösning.. den bästa är ändå ett extra fält där man ber besökaren svara på en fråga i stil med "Vilken bokstav kommer före D men efter B?"

Citat:

Originally posted by melin@Sep 5 2007, 10:17
nej.. ändrar man fältens namn måste det också ändras i koden som skickar mailet naturligtvis

Det är dock en tillfällig lösning.. den bästa är ändå ett extra fält där man ber besökaren svara på en fråga i stil med "Vilken bokstav kommer före D men efter B?"

Du har ingen exempelkod på hur ett sådant skulle se ut? ;)
Uppskattas verkligen!

Jag tycker att du skall lägga krutet på att fixa till bildverifiering av dina formulär.

har kollat lite på länken nedan och försöker förstå något :P
http://www.white-hat-web-design.co.u...hp-captcha.php

exempel

Formuläret

Kod:

Skriv in bokstaven som kommer efter "C" men före "E" i fältet <input type="text" name="xyz" />

Tillägg i koden som skickar mailet (längst upp eller iaf långt upp i koden)

PHP

Kod:

if ($_POST["xyz"] != "D") {

header("Location: fel.php");

}

ASP

Kod:

if request("xyz") <> "D" then response.redirect "fel.asp"

Captcha, bilder och dumma frågor är oerhört tjatigt och gör att sidan verkar oseriös (tycker jag) eftersom man visar att man inte har ordentlig koll på säkerhet.

Det är förbluffande att det inte gör någon som helst koll av inkommande data! Enkel kontroll (att en email-adress är en email-adress, att ett namn inte är en länk, att det inte finns html i meddelandet) är absolut nödvändigt nuförtiden, formuläret är ju inte ens skyddat mot email-injektion…

Jag har ett antal formulär på nätet men så länge man gör grundläggande server-side kontroll av vad som kommer in så brukar det inte komma igenom mycket spam. Använd absolut inte enkla oskyddade mejl-exempel från nätet, svagheterna är välkända bland spammarna…

jag tycker nog att såna skydd (frågor och captha) ger ett seriöst intryck.. dom visar att dom vill skydda mot spam

Citat:

Originally posted by melin@Sep 5 2007, 17:03
jag tycker nog att såna skydd (frågor och captha) ger ett seriöst intryck.. dom visar att dom vill skydda mot spam

Det jag tror han menar är att bilder ser oseriöst ut eller färgbakrunder med siffor bättre med frågor tex vad är 1+1

Det jag tror han menar är att bilder ser oseriöst ut eller färgbakrunder med siffor bättre med frågor tex vad är 1+1

Många sidor sin ställer in sin captcha för hårt, så att det nästan är omöjligt att se vilka tecken man ska skriva in. Ibland är det så frustrerande att man helt enkelt ger upp och aldrig besöker sidan igen.
Man ska naturligtvis göra allt för att stoppa spammarna men när man stoppar sina kunder/besökare, då skjuter man sig bara själv i foten.

Om du kan tänka dig ett mycket enkelt captcha system så hittade jag precis detta när jag sökte runt lite: justhumans.com

Du kan med detta använda dig av ditt nuvarande formulär.

Det enda du gör är att byta ut koden för "skicka knappen"

Kod:

<input type="Submit" class="button" value="Skicka" name="subbtn" />

med ett javascript som du genererar på justhumans.com

Kod:

<script language="JavaScript" src="http://verify.justhumans.com/verification.js?k=xxxxxxxxxxxxxxx"></script>

När besökaren klickar på "rätt" bild så skickas meddelandet iväg.
Bilderna byter position hela tiden.
Du kan ladda upp dina egna bilder.

Ja, det var bara ett tips om du vill ha nåt riktigt enkelt och besöksvänligt.

http://img46.imageshack.us/img46/9586/formularuu6.jpg

Citat:

Originally posted by gsoc@Sep 4 2007, 20:41
Lägg in en captcha:
http://www.captcha.net/

Brukar stoppa dom flesta...

Precis. Det är det som är baksidan av captcha, när även kunder och riktiga besökare stoppas...

EDIT: missförstod problemet!

/A

Citat:

Originally posted by WebboT@Sep 5 2007, 21:35
Många sidor sin ställer in sin captcha för hårt, så att det nästan är omöjligt att se vilka tecken man ska skriva in. Ibland är det så frustrerande att man helt enkelt ger upp och aldrig besöker sidan igen.
Man ska naturligtvis göra allt för att stoppa spammarna men när man stoppar sina kunder/besökare, då skjuter man sig bara själv i foten.

Om du kan tänka dig ett mycket enkelt captcha system så hittade jag precis detta när jag sökte runt lite: justhumans.com

Du kan med detta använda dig av ditt nuvarande formulär.

Det enda du gör är att byta ut koden för "skicka knappen"

Kod:

<input type="Submit" class="button" value="Skicka" name="subbtn" />

med ett javascript som du genererar på justhumans.com

Kod:

<script language="JavaScript" src="http://verify.justhumans.com/verification.js?k=xxxxxxxxxxxxxxx"></script>

När besökaren klickar på "rätt" bild så skickas meddelandet iväg.
Bilderna byter position hela tiden.
Du kan ladda upp dina egna bilder.

Ja, det var bara ett tips om du vill ha nåt riktigt enkelt och besöksvänligt.

http://img46.imageshack.us/img46/9586/formularuu6.jpg

Tackar dig så mycket.
Ska prova detta ikväll då jag har tid och kan göra det i lugnt och ro, det verkar inte vara så svårt. :lol: