=/= Kontakt stranice =/=
_ 2006-09-23 13:59:09 _

Skoro svaki sajt ima svoju kontakt stranicu na kojoj mozete ostaviti svoj
komentar, svoje podatke i poslati ih autoru i\ili vlasniku sajta. Da bi se
napravila ovakva stranica i skript koji ce sve to da obradi nije potrebno puno
vremena niti je to neka nauka. Ali bas zbog toga sto ovo izgleda kao mala
bezopasna stvar mnogi previde da filtriraju ne zeljeni sadrzaj u poljima koja
korisnik popunjava na kontakt formi sto moze biti opasno. Opasno zato sto mozete
postati spamer a da toga niste ni svesni. Kako ? Pa jednostavno u nekim
slucajevima ako ne filtrirate npr '\n' karakter ili bar '\' moze se desiti da
korisnik (ovog puta spamer,haker kako vec) unese za svoju e-mail adresu nesto
ovako: 

spamer@test.com\nCC:adresa1@test.com,adresa2@test@com

I onda ovo odozgo u vasoj formi postaje:

To: sajt@test.com
From: spamer@test.com
CC: adresa1@test.com,adresa2@test@com

I ovaj e-mail koji je predvidjen da se posalje samo vama ce biti prosledjen i
na druge adrese. Mozete se zastiti od ovoga na vise nacina ali evo da vam
predlozim jedan: if (preg_match("/[\\000-\\037]/",$EMAIL)) { die(); }. Ovaj tip
napada sa ubacivanjem '\n' i '\r' karaktera se naziva "CRLF injection" i ovo je
banalan primer njegovog exploatisanja. Postoje i neki drugi opasniji primeri
(hint: zapisivanje podataka u redovima nekog txt fajla). Za detalje koristite
Google.