Tema: phpforms, ¿Como evitar el spam?
Ver Mensaje Individual
  #8 (permalink)  
Antiguo 22/09/2006, 14:58
Cluster
O_O
  
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 3 meses
Puntos: 129
Las direcciones a las que quiero que vayan dirijidos los correos las indico en un campo de formulario dentro del administrador.

Supongo que en ese caso por esos campos "hidden" que van en el formulario que generas se indica el "ID" del formualrio y en consecuencia los datos de envio y demás gestionado en PHP.

Cita:
El formulario es utilizado para enviar spam a otras cuentas, cuentas que elijen los que aprovechan la vulnerabilidad del script, en muchos casos las cuentas del usuario tambien se llenan con emails devueltos de ese spam, en otros casos simplemente se utiliza el servidor a traves de ese script vulnerable para enviar el spam (como es este el caso).

A las 17:23 de hoy se han enviado ya 8785 emails."

"El problema persiste, cada dia mandan una remesa de 10000 emails de spam . Por favor hasta que puedas cambiar el formulario elimina el anterior o tendremos que suspender el espacio, total tu cliente no va a tener la web funcionando de ninguna manera porque cuando envian los 10000 emails ya no se puede enviar mas email y no le será funcional el espacio."
Si eso es cierto ..

1) Ya sabes, olvidate de "phpforms" ..
2) Haz este anuncio en los foros de "phpforms" y avisa a su equipo de desarrollo .. a ver si lo pueden solventar en próximas versiones o "parche" de seguridad que saquen.

Por mi parte . .como no he estudiado el código que genera y usa "PHP Formos" no te sé decir por donde falla .. Las preguntas que te hacía eran en parte para ver una de las fallas más típicas de "form mailers" genécos que existían antes donde el e-mail del receptor se indicaba en forma "plana" en un simple campo hidden del formulario mismo .. con la consiguiente facilidad para suplantar Tu formulario y automatizar el proceso por otro lado.

Por otro lado, algo que mejoraría la seguridad sería el uso de sesiones. Las usas? ..

Se trata de que crees una variable de sesión en el script del formulario y la verfiques (su existencia) en el script que hace el proceso de envio. Así no te inyectan directo a tu script de proceso datos de otros servidores/clientes.

También puedes usar técnicas de "captcha" (en las FAQ's tienes un ejemplo) para que sólo un usuario "humano" use el formulario pues tendrá que digitar en otro campo un "código" que en forma gráfica se le proporcionará.

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
Última edición por Cluster; 22/09/2006 a las 15:04