Могут ли взломать сайт через форму отправки сообщений?

Question

Дамир Габдрахимов @gabdrahimovru

SEO-специалист. Продвижение сайтов в интернете.

Могут ли взломать сайт через форму отправки сообщений?

Добрый день, могут ли взломать сайт через форму отправки сообщений, форма с базой данных не связана, работает только с функцией mail()

Интересует, если данные из формы не проходят фильтрацию и не валидированы, могут и взломать мой сайт, получить доступ к FTP и т.д.

Форма простая принимает "имя" и "телефон".

Спасибо!

Вопрос задан более трёх лет назад
1545 просмотров

4 комментария

Подписаться 1 Оценить 4 комментария

Дмитрий Лузанов @dmitry_luzanov

Чтобы дать ответ на этот воспрос нужно больше данных о вашем сайте.
P.S. Взломать можно все.

Написано более трёх лет назад
Дамир Габдрахимов @gabdrahimovru Автор вопроса

Predve4niy: обычный сайт лендинг, с одной лишь формой которая просит "имя" и "телефон", просто про валидацию и защиту форм отправки сообщений через функцию mail, инфы мало, поэтому как бы она у меня никак не "защищена"

Написано более трёх лет назад
megorit @EgoRusMarch

Predve4niy: не все

Написано более трёх лет назад
Алексей Зуйков @alex_sawyer

Думаю ваш проблему решит скрипт убирающий из переменной формы спецсимволы реплейсом, перед тем как отправлять данные. Может быть вам ещё стоит копнуть в сторону защиты от CSRF и XSS.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

3 комментария

2 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

Простой
Как узнать из-за чего прерывается фоновый процесс запущенный через exec?
- 1 подписчик
- 33 минуты назад
- 24 просмотра
0

ответов
PHP

+1 ещё

Средний
Как спарсить этот текст с помощью simplehtmldom?
- 1 подписчик
- 10 часов назад
- 33 просмотра
0

ответов
PHP

Простой
Как правильно вывести ошибки регистрации?
- 2 подписчика
- 16 часов назад
- 83 просмотра
1

ответ
Вредоносное ПО

+1 ещё

Средний
Cheat Engine устанавливает рекламные вирусы? Насколько безопасна эта программа?
- 1 подписчик
- вчера
- 96 просмотров
1

ответ
PHP

+1 ещё

Простой
Как обновить PHP на сайте?
- 1 подписчик
- 23 нояб.
- 599 просмотров
2

ответа
PHP

+1 ещё

Средний
Yii2-dynamic-form при добавлении строки слетает кодировка. Как решить?
- 1 подписчик
- 23 нояб.
- 43 просмотра
1

ответ
PHP

+1 ещё

Простой
Как исправить "Undefined array key «login»,"password" в $_POST?
- 1 подписчик
- 23 нояб.
- 110 просмотров
1

ответ
PHP

+3 ещё

Простой
Firefox больше не отправляет в HTTP_ACCEPT image/webp?
- 3 подписчика
- 22 нояб.
- 639 просмотров
2

ответа
PHP

+1 ещё

Простой
Как корректно распределить сумму внутри элементов массива?
- 1 подписчик
- 22 нояб.
- 98 просмотров
1

ответ
PHP

+2 ещё

Сложный
Как обойти блокировку серверов CloudFlare на уровне провайдера?
- 1 подписчик
- 20 нояб.
- 4222 просмотра
6

ответов
Показать ещё Загружается…

Backend-разработчик PHP

Wanted. • Москва

До 160 000 ₽

PHP-разработчик

Decart IT-production

от 260 000 до 340 000 ₽

PHP-разработчик

Wanted.

До 200 000 ₽

Перенести сайт с правками на другую платформу

26 нояб. 2024, в 10:57

40000 руб./за проект

Распознать подделку PDF файла от оригинального чека PDF

26 нояб. 2024, в 10:25

300000 руб./за проект

Нужно найти список всех 2-5 этажек рф

26 нояб. 2024, в 10:24

500 руб./за проект

Чтобы дать ответ на этот воспрос нужно больше данных о вашем сайте.
P.S. Взломать можно все.
Predve4niy: обычный сайт лендинг, с одной лишь формой которая просит "имя" и "телефон", просто про валидацию и защиту форм отправки сообщений через функцию mail, инфы мало, поэтому как бы она у меня никак не "защищена"
Думаю ваш проблему решит скрипт убирающий из переменной формы спецсимволы реплейсом, перед тем как отправлять данные. Может быть вам ещё стоит копнуть в сторону защиты от CSRF и XSS.

Answer 1 · 2017-02-16 10:51:56

Не фильтрованный ввод - это значит потенциальный css, это значит могут получить куки, в т.ч. администратора, если подсунуть ему ссылку с этим css (он должен по ней перейти, но обычно это не сложно, социальная инженерия очень хорошо работает), а дальше, имея пароль администратора обычно можно гораздо больше, и без взлома.

p.s. проверьте, что произойдет, если данные формы отправить в виде GET запроса, а не POST.

Answer 2 · 2017-02-16 10:55:38

Если данные не валидируются, то могут. Однажды, давно-давно, уже и архива нет, у нас так было - была страничка с демкой продукта, висела и висела...

Скорее всего получат права юзера www (ну или под кем там у Вас вебсервер стартует), для системы это не фатально, но неприятно.

Answer 3 · 2017-02-16 13:30:50

Относительно недавно в паблик утёк экспойт, связанный с php-mailer
https://legalhackers.com/advisories/PHPMailer-Expl...

Может пригодится

Могут ли взломать сайт через форму отправки сообщений?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт