Kontaktformular: Sicherheitslücken und technische Schwächen

AnyKey

Hallo,

ich habe da auch mal ein Kontaktformular nach der PHP-Self-Methode erstellt und würde gerne mal wissen, ob Ihr dort noch Sicherheitslücken oder technische Schwächen drin erkennt:

PHP

<?php
// nach dem Absenden des Formulars
if(isset($_POST['abschicken'])){
    while(list($feld,$wert)=each($_POST)){
        $wert=preg_replace("/(content-type:|bcc:|cc:|to:|from:)/im", "",$wert);
        $$feld=$wert;
        if($feld!="abschicken") $mailnachricht.=ucfirst($feld).": $wert\n";
    }
    $mailnachricht.="\nDatum/Zeit: ". date("d.m.Y H:i:s");
    // Formular-Angaben ueberpruefen
    empty($name) ? $err[] = "<p>* Sie m&uuml;ssen noch Ihren Namen angeben!</p>" : false;
    empty($email) ? $err[] = "<p>* Sie m&uuml;ssen noch Ihre E-Mail-Adresse angeben!</p>" : false;
    empty($text) ? $err[] = "<p>* Das Textfeld ist noch leer!</p>" : false;
    // Ausgabe der Fehlermeldung
    if(!empty($err)) {
        echo "<p><font color=red>Es ist leider ein Fehler aufgetreten:<br /><br /></font></p>";
        foreach($err as $fehler){
            echo $fehler;
        } ?>
        <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
        <br><h1>&nbsp;Kontaktformular</h1><br><br>
      <table width="98%" border="0" cellpadding="6" cellspacing="1">
        <tr><td width="35%" align="right" class="fd">*Name:</td><td align="left"><input type="text" name="name" value="<?php echo $name; ?>" style="width:100%;" /></td></tr>
        <tr><td align="right" class="fd">Stra&szlig;e / Hausnr.:</td><td align="left"><input type="text" name="adress" value="<?php echo $adress; ?>" style="width:100%" /></td></tr>
        <tr><td align="right" class="fd">PLZ / Ort:</td><td align="left"><input type="text" name="plz" value="<?php echo $plz; ?>" style="width:100%" /></td></tr>
        <tr><td align="right" class="fd">Telefon:</td><td align="left"><input type="text" name="phone" value="<?php echo $phone; ?>" style="width:100%" /></td></tr>
        <tr><td align="right" class="fd">*E-Mail:</td><td align="left"><input type="text" name="email" value="<?php echo $email; ?>" style="width:100%" /></td></tr>
        <tr><td align="right" valign="top" class="fd">*Nachricht:</td><td align="left"><textarea rows="6"  style="width:100%" name="text"><?php echo $text; ?></textarea></td></tr>
        <tr><td colspan="2"></td><td> </td></tr>
        <tr><td align="right">&nbsp;</td><td align="left" class="fd">*Pflichtfelder<br></td></tr>
        <tr><td colspan="2" align="right" nowrap><br /> <input type="submit" name="abschicken" class="button" value="Senden" style="width:25%" /></td></tr>
      </table>
        </form>

        <br />
        <br />
        <br />
        <p align="center"></p>
<?php    // es wurden keine Fehler gefunden - die Nachricht wird versendet
    } else {
        $mailbetreff="Ihr Kontakt zu Mitralklappenprolaps.org";
        // HIER DIE EMPFAENGER EMAIL-ADRESSE ANPASSEN!!!       
        echo (mail('kontakt@email.org',$mailbetreff,$mailnachricht,'From:'.$email."\r\n".'Mime-Version: 1.0'."\r\n".'Content-Type: text/plain; charset=UTF-8'."\r\n".'Content-Transfer-Encoding: quoted-printable'."\r\n".'X-Mailer: PHP/'.phpversion()))  ? "<p><font color=black><br>Vielen Dank f&uuml;r Ihre Nachricht!<br><br>Ihre Anfrage wird so schnell wie m&ouml;glich bearbeitet.<br><br></font><br /><br /><br /></p><p align=center><br><br></p>": "<p><font color=red>Es ist leider ein Fehler aufgetreten!</font></p>";
    }
// dieses Formular wird dem Benutzer als erstes angezeigt 
} else { ?>
        <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post" accept-charset="UTF-8">
        <br><h1>&nbsp;Kontaktformular</h1><br><br>
      <table width="98%" border="0" cellpadding="6" cellspacing="1">
        <tr><td width="35%" align="right" class="fd">*Name:</td><td align="left"><input type="text" name="name" value="" style="width:100%;" /></td></tr>
        <tr><td align="right" class="fd">Stra&szlig;e / Hausnr.:</td><td align="left"><input type="text" name="adress" value="" style="width:100%" /></td></tr>
        <tr><td align="right" class="fd">PLZ / Ort:</td><td align="left"><input type="text" name="plz" value="" style="width:100%" /></td></tr>
        <tr><td align="right" class="fd">Telefon:</td><td align="left"><input type="text" name="phone" value="" style="width:100%" /></td></tr>
        <tr><td align="right" class="fd">*E-Mail:</td><td align="left"><input type="text" name="email" value="" style="width:100%" /></td></tr>
        <tr><td align="right" valign="top" class="fd">*Nachricht:</td><td align="left"><textarea rows="6"  style="width:100%" name="text"></textarea></td></tr>
        <tr><td align="right">&nbsp;</td><td align="left" class="fd">*Pflichtfelder<br></td></tr>
        <tr><td colspan="2" align="right" nowrap><br />  <input type="submit" name="abschicken" value="Senden" style="width:25%" /></td></tr>
      </table>
        </form>

        <br />
        <br />
        <br />
        <p align="center"></p>

<?php
}
?>

Alles anzeigen

Ich weiss jedenfalls schon mal, dass dort noch ein "htmlcharsets" eingesetzt werden muss, damit das Formular bspw. nicht für Spam-Angriffe missbraucht werden kann.
Ich weiss aber jetzt nicht genau, an welcher Stelle genau diese htmlcharsets eingesetzt werden müssen.
Vielleicht könnt Ihr mir da ja helfen.

Findet Ihr darin vielleicht sonst noch irgendwelche Fehler?

Danke schon mal im voraus.

Gruß
anykey

Arne Drews

Hallo,

Sicherheitstechnisch fängt es schon mal beim PHP_SELF an. Das solltest Du nicht verwenden. Warum? Findet man alles im Netz und muss hier nicht nochmal durchgekaut werden.
Weiterhin frage ich mich, warum Du das Formular zweimal erstellt hast? Etwa wegen der Fehlerausgabe?

Dann solltest Du mail() nicht verwenden, sondern eher eine Mailer-Klasse á la PHPMailer oder SwiftMailer.

Richtig filtern tust Du die Formulardaten auch nicht, Du versuchst lediglich herauszufinden, ob sich Mail-Header darin befinden.

gruß Arne

Gastl

Zitat von Arne Drews

Findet man alles im Netz und muss hier nicht nochmal durchgekaut werden.

Schade. Da ich davon von dir hier zum ersten mal überhaupt lese, wäre zumindest ein Link nicht schlecht.

Bandit

Zitat von Gastl

wäre zumindest ein Link nicht schlecht.

Bidde schöööön: https://www.google.de/?gws_rd=ssl#q=php_self+xss

Gastl

Danke
Also ist ein Aufruf wie dieser Mist?

PHP

<?php
    echo "<form action='".$PHP_SELF."' enctype=\"multipart/form-data\" method='post'>";

Was ist, wenn ich die Zieldatei als Variable definiere und diese statt $PHP_SELF angebe?
Ich verstehe diese Sicherheitslücke nicht wirklich.

Arne Drews

Hi,

Je nachdem, was $PHP_SELF ist. So wie Du es schreibst, ist das eine stinknormale Variable, die Du generell dafür verwenden kannst.
Wichtig ist halt, dass hier nicht $_SERVER['PHP_SELF'] dahinter steckt.

Zitat von Gastl

Schade. Da ich davon von dir hier zum ersten mal überhaupt lese, wäre zumindest ein Link nicht schlecht.

Naja, wie ich schrieb, findet man das bei Google bspw. zu Hauf beschrieben und den Link zu Google muss ich ja wohl hier nicht posten!
Grundsätzlich gilt für $_SERVER['PHP_SELF'], dass es sich hierbei um eine Reflektion der URL handelt und die kann man manipulieren und im worst case damit effektive XSS-Exploits schaffen.
Bevor man jetzt anfängt, um PHP_SELF Pseudo-Sicherheit zu basteln, kann man auch einfach mit standardisierten Abläufen arbeiten, Stichwort: Affenformular.

Bei einem Affenformular ruft sich die Formularseite selbst auf, genau wie es bei PHP_SELF gedacht ist.
Nur kann man in Zeiten von HTML5 das action-Attribut komplett weg lassen, was zur Folge hat, dass das Formular seinen Selbstaufruf "sicher" durchführt und wir keinen Stress haben irgendetwas wie PHP_SELF absichern zu müssen, was seit Jahren nicht mehr notwendig ist.

Gruß Arne

EDIT: Kleiner Tipp noch:

PHP

echo "<form enctype=\"multipart/form-data\" method='post'>";

Du sparst Dir die Maskierungsorgien, wenn Du PHP in SingleQuotes setzt:

PHP

echo '<form enctype="multipart/form-data" method="post">';

AnyKey

Danke für die Beiträge bis dahin.

Ich hatte ja vorher auch schon probiert, die Eingaben zwischenspeichern zu lassen und den Absendevorgang erst auf der Folgeseite (mit der Absende-Bestätigung) durchführen zu lassen.

Allerdings waren auf dem Weg dorthin die Variablen verloren gegangen, so dass beim Testen stets eine leere Mail in den Briefkasten geflattert ist.

Gruß
anykey

Arne Drews

Wenn Du das Formular über mehrere Seiten verteilen willst, musst Du die Daten natürlich auf den Folgeseiten "durchreichen".
Der einfachste Weg sind hidden-Fields.

Bandit

Zitat von Arne Drews

Der einfachste Weg sind hidden-Fields.

Nein, eine Session wäre da einfacher und besser.

Arne Drews

Besser ja, aber einfacher nicht...

Bandit

Zitat von Arne Drews

Besser ja, aber einfacher nicht...

Was ist an Sessions schwierig? Ist doch auch nicht mehr, als Post-Variablen durch Hidden-Fields durchzuschleifen.

Arne Drews

Das ist richtig, aber für eine Session musst Du ein bisschen mehr PHP kennen.
Und da ich den Kenntnisstand des TE nicht weiß, sehe ich die Hidden-Fields als "einfacher" an.

Bandit

Zitat von Arne Drews

sehe ich die Hidden-Fields als "einfacher" an.

Hähä, ich sehe schon, da kommen wir beide nicht auf einen Nenner

Arne Drews

Muss ja auch nicht, beide Möglichkeiten sind genannt...

Bandit

Aber wir können uns doch bestimmt darauf einigen, dass Sessions eine elegantere Lösung wären.

Arne Drews

Auf jeden Fall ist es die bessere, das bestreite ich nicht.
Die Frage ist, ob der TE das umsetzen kann...

Tags