Vulnerabilidad de la función mail() de PHP
Existe un creciente uso de la modalidad de envio de e-mails masivos a través de formularios web que utilizan PHP para el envio de mails con el objetivo de enviar spam, en algunos casos, y el anonimato de los mensajes enviados en otros caso. Esta modalidad aprovecha la forma en que la función mail() de PHP funciona y se conoce como "Headers Mail Injection". La misma consiste en aprovecharse de formularios de sitios web que utilicen la función mail() de PHP para el envio de los datos ingresados por el visitante y que además estos, no validen los datos en forma correcta para evitar este tipo de abusos.
¿Cómo funciona esta modalidad?
Para explicarlo vamos a basarnos en un ejemplo simple, supongamos que nuestro sitio dispone de un campo para el ingreso del e-mail por parte del visitante de la siguiente forma:
<input name="email" type="text" value="Ingrese su e-mail aqui" />
luego, la dirección ingresada en este campo es enviada al servidor y es tomada por el script PHP para ser utilizada como FROM en la función mail() y de esta manera el mensaje que nos llega a nuestro correo tendrá como remitente la dirección ingresada por el visitante. Ahora bien, la función mail() de PHP
mail(recipiente, asunto, mensaje, cabeceras extras);
simplemente concatena los parametros que le son pasados, por lo cual, si en el campo mail del formulario ingresamos lo siguiente:
"spammer@anonimo.com%0ACc:email@victima1.com%0ABcc:email@victima2.com,email@victima3.com"
donde la primera dirección será el FROM: (dirección de origen que llegará a las víctimas del spam), %0A es el valor hexadecimal del caracter de salto de línea <LF>, Cc: (Copias) contiene la dirección o direcciones de las víctimas y Bcc: (Copias ocultas) contiene también direcciones de las víctimas del spam.
Parte de la cabecera del e-mail generado por nuestro formulario abusado será:
To: recipient@midominio.com
Subject: Asunto del mensaje
From: spammer@anonimo.com
Cc:email@victima1.com
Bcc:email@victima2.com,email@victima3.com
Con esto, el spammer habrá utilizado nuestro formulario para el envio de correo masivo a través de nuestro formulario.
El ejemplo visto es el caso más básico de esta modalidad ya que a través de la inyección de cabeceras se puede incluso modificar el asunto y hasta el mensaje en si mismo hasta el punto de poder enviar mensajes con contenido html.
¿Qué consecuencias tiene esta modalidad?
En primer lugar, nuestro formulario está siendo usado para llevar a cabo un acto con el cual la gran mayoría de nosotros estamos en desacuerdo, también se está haciendo uso del ancho de banda disponible para el servidor afectando al resto e los sitios alojados en el mismo, por lo cual, el sitio en cuestión será suspendido hasta que el inconveniente sea resuelto, por último, ante una denuncia de spam, dicha cuenta deberá ser suspendida de acuerdo a lo previsto en legales de nuestro sitio. Es responsabilidad de cada usuario el utilizar código lo suficientemente seguro en su sitio web y corregir esto si fuera necesario.
¿Cómo evitar la utilización de nuestro formulario?
Ante todo, cabe aclarar que esta modalidad se da únicamente en formularios que utilizan la función mail() de PHP para procesar y enviar los datos ingresados por el visitante.
Si utiliza algún script de PHP no elaborado por Ud. como formailphp, por favor, actualice el mismo con la versión más reciente verficando que brinde una solución a este tipo de actividad.
Si utiliza un script PHP creado por Ud. o posee los conocimientos como para editar el mismo, aquí incorporamos una función que puede utilizar para validar los datos ingresados de forma eficiente.
<?php
function ValidarDatos($campo){
//Array con las posibles cabeceras a utilizar por un spammer
$badHeads = array("Content-Type:",
"MIME-Version:",
"Content-Transfer-Encoding:",
"Return-path:",
"Subject:",
"From:",
"Envelope-to:",
"To:",
"bcc:",
"cc:");
//Comprobamos que entre los datos no se encuentre alguna de
//las cadenas del array. Si se encuentra alguna cadena se
//dirige a una página de Forbidden
foreach($badHeads as $valor){
if(strpos(strtolower($campo), strtolower($valor)) !== false){
header("HTTP/1.0 403 Forbidden");
exit;
}
}
}
//Ejemplo de llamadas a la funcion
ValidarDatos($_POST[‘email’]);
ValidarDatos($_POST[‘asunto’]);
ValidarDatos($_POST[‘mensaje’]);
?>
Esta función es básica y puede ser modificada de acuerdo al script que Ud. utilice para el procesamiento del formulario e incluso incorporar control de errores.
No olvide incluir los campos ocultos del formulario si estos datos van a ser pasado a través de la función mail().
Esperamos que esta información le sea útil y de ayuda para que entre todos podamos minimizar el impacto causado por este tipo de actos y hacer un uso eficiente del servicio.
Por cualquier consulta adicional dirigirse a mesa de soporte.
Confiamos hace varios años en Hosting Bahia como proveedor tecnológico para dar soluciones de Hosting a nuestros clientes en Argentina. Gran calidad de servicio y tecnologia
Tuve un problema con el espacio en disco apenas subi mi página web y mis consultas fueron respondidas inmediatamente. Muy buena atención!
Excelente el apoyo que me dieron con los tramites en nic.ar - La calidad y calidez en la atención es de destacar!! Gracias Martín!!
Tenía que hacer dos registros NIC. Gracias a la asistencia y predisposición de Martín, tanto en la oficina como la asistencia técnica telefónica, pude lograr mi objetivo. Excelente.
Tengo contratados dos Planes Empresa Anuales y estoy muy conforme con el servicio brindado, totalmente recomendables.
Excelente atención y asistencia al cliente. Soporte de 10!!! Me alegra contar con uds para mi empresa!!!
Hace mas de dos años que somos clientes de Hosting Bahia y la verdad es que estamos muy conformes en todo sentido. Atencion, funcionalidad,etc. Muy recomendables !! Abrazo CHENQUEANUNCIOS.COM
Excelente el apoyo que me dieron con los tramites en nic.ar La calidad y calidez en la atención es de destacar!! Gracias Martín!!
Excelente atención y servicio, incomparable.
La verdad siempre hemos tenido una atención impecable, tenemos nuestro sitio y el de todos nuestros clientes alojado con la gente de Hosting Bahía, muy pero muy recomendable!
Soy cliente de Hosting Bahia hace mas de 7 años y no tengo queja alguna, siempre la mejor atencion y pronta respuesta. Recomendados!
Desde ya felicitamos su crecimiento como también agradecemos el servicio, responsabilidad y trabajo que nos brindan día a día. Lejos el servicio numero 1 Saludos y los mejores deseos.
muy buen servicio de hosting, siempre al servicio del cliente la verdad que muy atentos!!!
Chicos! excelente servicio! la verdad que muy conforme porque ademas siempre estan para resolverme todos los problemas :) muchas gracias! Desde ya super confiables, responsables y recomendables... Felicitaciones!!!
Excelente nivel en el servicio, igual en la atencion...felicitaciones!!! desde www.mcdigitalmarketing.com.ar
Genios, excelente servicio, muy personalizado, de 10!!
Excelente atencion!! un servicio impecable! las consultas son respondidas al momento!!
Muy satisfecha con el servicio brindado y la atención día a día.
Excelente servicio y soporte tecnico, el mejor servicio de hosting de Bahia Blanca, nunca un problema! gracias gente!!!
Somos clientes desde hace 5 años y la verdad que el servicio es impecable. Saludos y felicidades. REVIN SA.-
Excelente atencion!! un servicio impecable! las consultas son respondidas al momento!!
Impecable el servicio y la rapidez en solucionar nuestros problemas! Gracias por ayudarnos!!
Excelente el servicio que dan la asistencia al cliente y todo el soporte de ayuda con el que cuentan. son los mejores de bahía. muchas gracias por todos. !!!
Sin duda son los mejores de la ciudad y la zona. La relación precio/producto es excelente y además de la altísima calidad y su gran variedad de servicios, cuentan con personal altamente calificado para dar soporte a sus clientes. Su trayectoria los avala. Gracias por todo!
Excelente atención y asistencia al cliente. Soporte de 10!!! Me alegra contar con uds para mi empresa!!!
El mejor servicio!!!!
Gran servicio, rápida respuesta y buena atención sigan así!
Felicitaciones por sus excelentes servicios, responsabilidad y rapidez, les deseamos lo mejor... MN PARTICIPACIONES (www.mnparticipaciones.com.ar)
El servicio es muy bueno! Excelente atención! El soporte técnico siempre está disponible para ayudar.
Muy buena atención, excelente respuesta a los pocos problemas encontrados!! Gracias por la atencón y felices fiestas!!
