Beeinträchtigung von Formular-Mails durch PHPBB

[Humphrey]

Hallo!

Ich habe vor etwa einer Woche PHPBB installiert - tolles Ding, klappte alles super. Seit zwei Tagen - nicht von Beginn an - habe ich aber ein Problem mit automatischen Hinzufügungen zu Mails, die per Formular über ein PHP-Skript auf der normalen Homepage, also außerhalb des Forums erzeugt werden. Da wird irgendwas eingefügt, bevor es bei mir ankommt. Ein Beispiel:

Telefon: (gehört noch zum normalen Formular)
(das Folgende gab es vorher nicht)
style_cookie: null
phpbb3_pyh6w_k: acf78a5866073eed
phpbb3_pyh6w_u: 2
phpbb3_pyh6w_sid: 907c83452a99977501c786635ef3490e
(das Folgende ist wieder normal; insgesamt fehlt nichts, es wird nur etwas eingefügt)
Datum/Zeit: 12.01.2010 13:23:06

Könnt ihr mir sagen, was das ist, ob es gefährlich ist und wie ich es wieder wegkriege? Ich muss dazu sagen - aber das merkt man wahrscheinlich sowieso -, dass ich nicht so der PHP-Spezialist bin Danke!

[Mahony]

Hallo

....habe ich aber ein Problem mit automatischen Hinzufügungen zu Mails, die per Formular über ein PHP-Skript auf der normalen Homepage, also außerhalb des Forums erzeugt werden.

Was für ein Mail-Script verwendest du denn da? Das sieht mir nach Session Hijacking aus (zumindest wenn diese Daten von dir an jede Mail, die versendet wird, angehangen werden).


Grüße: Mahony

[Humphrey]

Hallo Mahony,

danke für deine Rückmeldung und den Link. Hab mir das mit dem Hijacking durchgelesen, aber nicht ganz verstanden, wer hier jetzt was zu welchem Zweck hijackt. Also mit der Session hängt das dann wohl insoweit zusammen, als bei Testmails meinerseits immer dieselbe Hinzufügung kommt, bei Mails von außen aber ein andere, zum Beispiel:

phpbb3_pyh6w_u: 1
phpbb3_pyh6w_k:
phpbb3_pyh6w_sid: cd988d5917781d4b5ffe853afc0f2a12
style_cookie: null

Zum Vergleich noch mal die aus den Testmails:

style_cookie: null
phpbb3_pyh6w_k: acf78a5866073eed
phpbb3_pyh6w_u: 2
phpbb3_pyh6w_sid: 907c83452a99977501c786635ef3490e


Aber wie kommt es überhaupt zur Interaktion des Skripts mit PHPBB? Das Skript sieht wie folgt aus:

<?php

$Empfaenger = "x@x.de" ;

if($_REQUEST['Send'])
{
if(empty($_REQUEST['Name']) || empty($_REQUEST['Email']) || empty($_REQUEST['Nachricht']))
{
echo"Bitte gehen Sie <a href=\"javascript:history.back();\">zurück</a> und füllen Sie alle Felder aus!";
}
else
{
$Mailnachricht = "Sie haben folgende Nachricht erhalten: \n\n";
while(list($Formularfeld, $Wert)=each($_REQUEST))
{
if($Formularfeld!="Send")
{
$Mailnachricht .= $Formularfeld.": ".$Wert."\n";
}
}
$Mailnachricht .= "\nDatum/Zeit: ";
$Mailnachricht .= date("d.m.Y H:i:s");
$Mailbetreff = "Kontakt: ";
$Mailbetreff .= $_REQUEST['Betreff'];
mail($Empfaenger, $Mailbetreff, $Mailnachricht, "From: ".$_REQUEST['Email']);
echo"Vielen Dank für Ihre E-Mail! Zurück zur <a href=\"kontakt.htm\">Kontaktseite</a>";
}
}
else
{
echo"Ein Fehler ist aufgetreten. Bitte gehen Sie zurück auf diese <a href=\"kontakt.htm\">Seite</a>.";
}

?>

Kannst du dir einen Reim darauf machen? Danke schon mal.

Nachtrag: Ich hab jetzt mal Folgendes gemacht: den Browser gewechselt, weil ich dachte, dass es dann keine Session ID gibt, auf die zurückgegriffen werden kann. War auch erfolgreich: Es wurde kein Code eingefügt. Bedeutet das evtl., dass bei Usern, die gleichzeitig im Forum sind und mir eine Mail schicken, so etwas erzeugt wird? Das könnte man ja noch mal anders gegenprüfen.

[Humphrey]

Ich hab jetzt mal Folgendes gemacht: den Browser gewechselt, weil ich dachte, dass es dann keine Session ID gibt, auf die zurückgegriffen werden kann. War auch erfolgreich: Es wurde kein Code eingefügt. Bedeutet das evtl., dass bei Usern, die gleichzeitig im Forum sind und mir eine Mail schicken, so etwas erzeugt wird? Das könnte man ja noch mal anders gegenprüfen.

[Mahony]

Hallo
Du hast das Thema binnen weniger Minuten/Stunden mit einem Folgebeitrag nach oben geschoben.
Die Mindestwartezeit für Topic Bumping beträgt 24 Stunden.

Bitte passe deinen Beitrag an, lies Dir den phpBB.de-Knigge und den Hinweis zur Fragestellung und Rechtschreibung durch und beachte diese zukünftig.



Zum Thema:
Du solltest dich schnellstmöglich von diesem Mail-Script verabschieden. Das Script ist eine einzige Katastrophe. Da werden ja überhaupt keine Eingaben geprüft.
Ein sicheres Mail-Script sieht anders aus.

Noch ein Hinweis:

Die Variablen in $_REQUEST werden dem Skript mittels der GET-, POST- und COOKIE-Inputmechanismen zur Verfügung gestellt. Daher kann der Inhalt durch einen entfernten Benutzer modifiziert worden sein und ist daher als nicht vertrauenswürdig zu betrachten. Das Vorhandensein und die Reihenfolge des Variableninhalts in diesem Array wird entsprechend der PHP-Konfigurationsdirektive variables_order bestimmt.

Grüße: Mahony

[Humphrey]

Hallo Mahony,

danke für deine Hinweise. Das letzte Posting kann gelöscht werden, ich habe den Inhalt in das davor eingefügt. Das Skript muss ich dann wohl ändern - wie gesagt, ich bin nicht so der Spezialist; ich habe nur eine Vorlage an meine Bedürfnisse angepasst.

Die Zusammenhänge sind mir immer noch nicht so ganz klar - also das Skript liest offenbar auch die Session ID aus, wenn jemand das Formular ausfüllt und noch eine Forum-Session läuft, wenn ich das richtig verstanden habe. Wenn das Skript sicher ist, wird dann vermutlich auch dieser Effekt nicht mehr auftreten, richtig? Aber das ist ja schon mal ein Ergebnis.

Auf jeden Fall danke für die Hilfe!

[Mahony]

Hallo
Wenn du ein besseres/sicheres Mail-Script suchst, dann schau mal hier vorbei http://www.heise.de/ct/ftp/05/22/208/


Grüße: Mahony