Могут ли взломать сайт через форму отправки сообщений?

Question

Дамир Габдрахимов @gabdrahimovru

SEO-специалист. Продвижение сайтов в интернете.

Могут ли взломать сайт через форму отправки сообщений?

Добрый день, могут ли взломать сайт через форму отправки сообщений, форма с базой данных не связана, работает только с функцией mail()

Интересует, если данные из формы не проходят фильтрацию и не валидированы, могут и взломать мой сайт, получить доступ к FTP и т.д.

Форма простая принимает "имя" и "телефон".

Спасибо!

Вопрос задан более трёх лет назад
1496 просмотров

4 комментария

Подписаться 1 Оценить 4 комментария

Дмитрий Лузанов @dmitry_luzanov

Чтобы дать ответ на этот воспрос нужно больше данных о вашем сайте.
P.S. Взломать можно все.

Написано более трёх лет назад
Дамир Габдрахимов @gabdrahimovru Автор вопроса

Predve4niy: обычный сайт лендинг, с одной лишь формой которая просит "имя" и "телефон", просто про валидацию и защиту форм отправки сообщений через функцию mail, инфы мало, поэтому как бы она у меня никак не "защищена"

Написано более трёх лет назад
megorit @EgoRusMarch

Predve4niy: не все

Написано более трёх лет назад
Алексей Зуйков @alex_sawyer

Думаю ваш проблему решит скрипт убирающий из переменной формы спецсимволы реплейсом, перед тем как отправлять данные. Может быть вам ещё стоит копнуть в сторону защиты от CSRF и XSS.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

3 комментария

2 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+1 ещё

Простой
Как из php передать ошибки в js?
- 1 подписчик
- 23 часа назад
- 176 просмотров
3

ответа
PHP

+2 ещё

Средний
Версии файлов на сайте отличаются от тех что я вижу через админку?
- 1 подписчик
- вчера
- 99 просмотров
1

ответ
PHP

+1 ещё

Простой
Регулярное выражение поиск по группам или нет?
- 1 подписчик
- вчера
- 113 просмотров
1

ответ
PHP

Простой
Как переделать код php, что бы отправлялись несколько файлов?
- 1 подписчик
- вчера
- 129 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Почему в консоли вылетатет ошибка unexpected character at line 1 column 1 of the JSON data, когда поля формы не заполнены?
- 1 подписчик
- вчера
- 146 просмотров
2

ответа
PHP

+1 ещё

Простой
Как связать таблицы по одному столбцу и посчитать сумму?
- 2 подписчика
- 14 апр.
- 297 просмотров
2

ответа
PHP

+2 ещё

Простой
Как подружить html с json?
- 1 подписчик
- 14 апр.
- 155 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему не выводит первую строку в select?
- 1 подписчик
- 14 апр.
- 70 просмотров
1

ответ
PHP

+2 ещё

Простой
Как подключиться из PHP к memcached с использованием socket?
- 1 подписчик
- 14 апр.
- 82 просмотра
2

ответа
JavaScript

+2 ещё

Простой
WordPress. Как с помощью Ajax отсортировать посты по году и перерендерить постраничную пагинацию?
- 1 подписчик
- 13 апр.
- 87 просмотров
1

ответ
Показать ещё Загружается…

PHP-разработчик

M-Social Production • Брянск

от 70 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP-разработчик

FunPay

от 300 000 до 500 000 ₽

Поднять собственный сервер на Матриксе

16 апр. 2024, в 20:08

1000 руб./в час

Сверстать 2 транзакционных письма по макету figma

16 апр. 2024, в 20:05

3000 руб./за проект

Автоматизировать работу ноумен с Инстаграмом

16 апр. 2024, в 19:33

1000 руб./за проект

Чтобы дать ответ на этот воспрос нужно больше данных о вашем сайте.
P.S. Взломать можно все.
Predve4niy: обычный сайт лендинг, с одной лишь формой которая просит "имя" и "телефон", просто про валидацию и защиту форм отправки сообщений через функцию mail, инфы мало, поэтому как бы она у меня никак не "защищена"
Думаю ваш проблему решит скрипт убирающий из переменной формы спецсимволы реплейсом, перед тем как отправлять данные. Может быть вам ещё стоит копнуть в сторону защиты от CSRF и XSS.

Answer 1 · 2017-02-16 10:51:56

Не фильтрованный ввод - это значит потенциальный css, это значит могут получить куки, в т.ч. администратора, если подсунуть ему ссылку с этим css (он должен по ней перейти, но обычно это не сложно, социальная инженерия очень хорошо работает), а дальше, имея пароль администратора обычно можно гораздо больше, и без взлома.

p.s. проверьте, что произойдет, если данные формы отправить в виде GET запроса, а не POST.

Answer 2 · 2017-02-16 10:55:38

Если данные не валидируются, то могут. Однажды, давно-давно, уже и архива нет, у нас так было - была страничка с демкой продукта, висела и висела...

Скорее всего получат права юзера www (ну или под кем там у Вас вебсервер стартует), для системы это не фатально, но неприятно.

Answer 3 · 2017-02-16 13:30:50

Относительно недавно в паблик утёк экспойт, связанный с php-mailer
https://legalhackers.com/advisories/PHPMailer-Expl...

Может пригодится

Могут ли взломать сайт через форму отправки сообщений?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт