Membres
Injection d'headers dans la fonction mail() de PHP
Injection d'headers dans la fonction mail() de PHP
Injection d'headers dans la fonction mail() de PHPLes failles sur le net permettant l\'envoi d\'un mail anonyme peuvent souvent servir à un hacker, ou pour une arnaque quelconque. En effet, quand on envois un mail en PHP, le destinataire reçoit un mail dont l\'ip de l\'expéditeur est celui du site depuis lequel la fonction mail() a été appelée. Le site fait donc usage de proxy SMTP.  Dans ces cas-là, le problème vient du fait que l\'utilisateur peut choisir le sujet du mail, son message, l\'expediteur et le destinataire.Rappel : La fonction mail fonctionne de la sorte : mail([DESTINATAIRE],[SUJET],[MESSAGE],[HEADERS]); Inutile de parler donc du cas où tout les arguments de la fonction mail() sont définissable par l\'utilisateur, il y a déjà pas mal de textes à ce sujet. Par contre il est plus interessant d\'imaginer comment envoyer un email anonyme quand il y a certaines restrictions. En effet, d\'autres webmasters, plus prudents, définissent l\'e-mail du destinataire dans le code PHP, quand il s\'agit par exemple (le plus souvent) d\'envoyer un mail au webmaster du site. Voici un exemple de ce genre de script, sur lequel nous allons commencer l\'analyse : écrit par sky Poster un commentaire sur cette article |
Nous - Plan du site - Informations légale - Contact - © Graphiks.net