×
Ir ao conteúdo
  • Cadastre-se

Testando a Segurança do seu Site – Parte 2


     18.477 visualizações    Redes    2 comentários
Testando a Segurança do seu Site – Parte 2

Formulários de Contato (Cont.)

O problema mais comum dos formulários de contato é uma falha de segurança que permita pessoas usarem seu site para enviar spams. Esse é um problema muito sério.

A falha de segurança exata que poderá existir em seu site dependerá do seu código em particular, mas a ideia geral é a seguinte: analisando o código HTML, o hacker pode facilmente aprender quais são as variáveis que devem ser passadas ao script, disponível em seu site, que lida com os dados enviados pelo formulário e que envia os e-mails (o nome do script é o listado na tag “form”.

Com essa informação, o hacker pode agora tentar acessar o script diretamente, manipulando as variáveis. Se o script permitir que o usuário configure o e-mail de destino, o hacker poderá passar qualquer endereço que queira para o script, o que permitirá o envio de spams para qualquer pessoa.

Vamos dizer que nós analisamos um código HTML de um formulário e descobrimos que o nome do script que lida com o formulário é script.php e que o formulário apresenta campos chamados de, para, assunto e texto. Agora, é muito fácil para o hacker acessar o link http://www.seusite.com.br/script.php?de=doemail@paradominio.com.br&para=paraemail@paradominio.com.br&assunto=CHEAP%20VIAGRA&texto=cheap%20Viagra%20at%20my%20website  e enviar um e-mail para  “paraemail@paradominio.com.br” com o assunto “CHEAP VIAGRA” e o texto “cheap Viagra at my website”.

Nós devemos enfatizar que, se o script do formulário de contato do seu site apresentar uma falha de segurança como essa, o hacker será capaz de transformar o seu site em um servidor de spam.

Como você pode ver, formulários de contato que apresentam endereços de e-mail em seus códigos HTML (ver Figura 1) são os mais fáceis de ser explorados, já que apresentam uma variável para configurar o e-mail de destino. No entanto, mesmo que não haja um endereço de e-mail no código HTML, o script pode apresentar uma variável oculta através da qual um hacker poderá configurar o e-mail de destino. Por exemplo, um hacker com certeza acessará diretamente o script tentando variáveis como “to”, “para” e “email”. Se o script permitir a configuração externa do endereço de e-mail, você está frito. É apenas uma questão de tempo para hackers descobrirem o nome da variável. Isso é, obviamente, uma falha de segurança grave.

Resumindo, o script que lida com o formulário de contato não deve aceitar a configuração externa do endereço de e-mail do destinatário.


Comentários de usuários

Respostas recomendadas

"Você não deve publicar endereços de e-mail em seu site, já que pessoas que enviam spams rodam programas que varrem a Internet à procura de endereços de e-mail para a construção de um banco de dados para enviar spams ou para vender esse banco de dados..."

Comentários são bem-vindos.

Olá!

Embora não seja tão díficil acertar os endereços de departamento de uma empresa, as ferramentas hoje em dia são automatizadas para através do domínio executar os endereços automaticamente, inclusive excluindo os retornos; além disso, base de dados de domínios e endereços eletrônicos são vendidos "gratuitamente" na rede ou na Santa Efigênia.

É uma segurança na balança sobre dois pesos. Se a empresa não divulga não tem resultados financeiros satisfatórios, se divulga corre o risco de levar Spams.

Pior que isso são os usuários que, por algúm motivo alheio a segurança tem sua caixa de entrada lotada de Spams advindos de empresas.

Se correr o bicho pega, se ficar o bicho come!

A coisa está feia... ;)

Link para o comentário
Compartilhar em outros sites

"Seja promíscuo com o seu endereço de e-mail

Eu acabei de passar por uma trabalheira tentando conseguir um orçamento com algumas empresas.

Eu visitei 8 sites. 6 deles escondiam seu endereço de e-mail. Eles usavam formulários de uma forma ou outra. Uma empresa se recusou a aceitar mais de 500 caracteres na caixa “Como podemos ajudá-lo?”, enquanto outras 3 queriam saber em qual estado eu estava, etc.

Contato por e-mail é como um primeiro encontro. Se você aparece com uma prancheta em um questionário, tem algo errado, eu fico com medo.

Se você vende algo, crie um endereço como “vendas@xyz.com.br”. Coloque esse e-mail na sua página inicial, “Contate-nos se você está procurando por mais informações ou um orçamento.”.

Com certeza você receberá alguns spams, mas deletar spam é muito mais fácil do que conseguir clientes.

Seth Godin"

Prefiro um filtro antispam.

Link para o comentário
Compartilhar em outros sites



Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Como se tornar um desenvolvedor full-stack

EBOOK GRÁTIS!

CLIQUE AQUI E BAIXE AGORA MESMO!