Formularios que sao gravados em banco de dados ou enviam emails, são alvos muito muito comuns de ataques, pois a grande maioria não analisa os posts, e simplismente saem enviando emails ou gravando dados em uma base de dados. vejamos a seguir alguns exemplos.
uma situação muito comum, um formulario de fale conosco, solicitando nome, email e menssagem, geralmente este formulario é enviado ao administrador do site e uma copia é enviada a pessoa que preencheu o formulario, situação corriqueira e inocente não acha???
pois bem digamos que neste campo de email, um usuario mal itenssionado coloque mais de 2000 emails, e no campo menssagem coloque uma propaganda e simule um post em seu script que manda o email, pronto, seu site agora esta enviando emails de propagandas alheias, pode ser listado como um site de spam, e ainda o invasor esta usando recursos de seu site e servidor para mandar emails pra todo mundo, pior ainda, dificilmente poderá ser rastreado...
portanto o mais basico de tudo antes de processar um post, é testar se ele esta realmente vindo do servidor, neste forum existe um exemplo em php que faz isto na seção formmail, além desta técnica tambem podem ser usados validadores de imagens com senhas antes de se processar um formulario.
Outra situação comum é a injeção de dados falsos em banco de dados, neste caso digamos que vc tenha um campo em seu site dizendo digite aqui seu email para receber nossa newsletter.
pois bem um invasor pode injetar 1 milhao de emails atraves deste campo, todos falsos, lotando seu banco de dados e ate mesmo podendo causar a parada de seu site ou a parada do mysql em casos mais extremos, e lembre-se em qquer situação vc responderá pelo estrago pois o erro de segurança está em seu script.
neste caso tambem vale checar se o post esta vindo realmente de seu site, altamente recomendado fazer a checagem por imagens con senhas, e alem disto antes de realmente incluir o email em sua newsletter, ainda enviar um email solicitando a confirmação da inscrição ao email informado.
Digamos que sua newsletter possua conteudo **SENSURADO**, algum esperto (e a net é cheia deles), pode cadastrar o email de um padre, e ai ja viu o tamanho do estrago (pode até parecer, mas realmente não será nada engraçado), portanto enviar sempre um email solitando a confirmação da inscrição na newsletter, e descrever o conteudo da mesma.
Este procedimento tambem ira evitar o cadastramento de e-mails inválidos em sua news letter.
Assinar:
Postar comentários (Atom)
Postagens
Nenhum comentário:
Postar um comentário