Задать вопрос

Как предотвратить взлом формы обратной связи?

Есть небольшой сайт с опросом — www.drevstat.ru. Ресурс стали постоянно "взламывать" — с сайта приходит огромное количество сообщений (в день по 6 000 электронных писем), при этом сообщения содержать всё что угодно, но не ответы на вопросы формы. Как пояснили в службе технической поддержки хостинг-провайдера, "... злоумышленник в прямом смысле "нащупал" уязвимый скрипт на сайте (/include/js/mail.php) и использовали его для отправки писем".

Подскажите, пожалуйста, можно ли как-то защитить ресурс от таких "взломов"?
  • Вопрос задан
  • 634 просмотра
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
Konstantin18ko
@Konstantin18ko
Стоматолог
Надо понять где была допущена ошибка и закрыть уязвимость.
Ответ написан
@Psq
Информационная безопасность. Пентест.
У вас передаются лишние параметры в POST-запросе (например, subject).
В результате чего можно влиять на содержимое письма. Если вы не проводите фильтрацию данных - можно влиять еще и на текст самого сообщения.

Ну и да, как отметили выше, ничто не мешает в автоматическом режиме отправлять POST-запросы - поставьте каптчу либо подтверждение какое-нибудь, на крайний случай.

https://www.owasp.org/index.php/Testing_for_IMAP/S...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы