expertenaustausch > microsoft.* > microsoft.frontpage

Harald Maedl (12.06.2009, 11:59)
Von irgendeinem netten Zeitgenossen sind gerade rund 1500 Mails
hereingeschneit, die über Formulare versendet wurden.

Irgendwo in einem Feld war versteckt:
"declare @q varchar(8000) select @q =" + irgendein Hexcode

Das ganze sieht fast aus wie eine sql-Injection. Wie kann man seine
Formulare mit bordeigenen Mitteln (FP 2003) und ingesamt wenig Ahnung
schützen?

Kann man mit den Tipps in <http://www.erich-kachel.de/?p=73> hier was
machen?

Grüße
Harald
Christoph Schneegans (12.06.2009, 12:35)
Harald Maedl schrieb:

> Von irgendeinem netten Zeitgenossen sind gerade rund 1500 Mails
> hereingeschneit, die über Formulare versendet wurden.


Also über Formulare auf deiner Website? PHP, ASP oder was anderes?
Von wem stammt der Skript-Code des Formulars?

> Irgendwo in einem Feld war versteckt:
> "declare @q varchar(8000) select @q =" + irgendein Hexcode
> Das ganze sieht fast aus wie eine sql-Injection.


Ja. Aber warum sollte der Angreifer den vermeintlichen Schadcode
1.500-mal einschleusen? Das erregt doch nur Aufmerksamkeit. Hm.

> Wie kann man seine Formulare mit bordeigenen Mitteln (FP 2003) und
> ingesamt wenig Ahnung schützen?


Ein Formular wird /mit/ FrontPage genauso abgesichert wie
/ohne/. FrontPage bietet dabei ziemlich wenig Unterstützung.
Harald Maedl (12.06.2009, 21:43)
Christoph Schneegans schrieb:
> Harald Maedl schrieb:


>> Von irgendeinem netten Zeitgenossen sind gerade rund 1500 Mails
>> hereingeschneit, die über Formulare versendet wurden.

> Also über Formulare auf deiner Website?


Yep

> PHP, ASP oder was anderes?


Die Formulare habe ich mit Frontpage erstellt. Die Seite läuft noch auf
einen Server, der die Frontpage Extensions vorhält.

> Von wem stammt der Skript-Code des Formulars?


s.o..

>> Irgendwo in einem Feld war versteckt:
>> "declare @q varchar(8000) select @q =" + irgendein Hexcode
>> Das ganze sieht fast aus wie eine sql-Injection.

> Ja. Aber warum sollte der Angreifer den vermeintlichen Schadcode
> 1.500-mal einschleusen? Das erregt doch nur Aufmerksamkeit. Hm.


Keine Ahnung. Fehler in der Programmierung? Da ich die Probleme habe,
seitdem ich daft moderiere, gehe ich davon aus, dass derjenige, der mich
ärgern will, dazugelernt hat. Den früheren zeitlichen Abständen nach,
hat der den ganzen Tag nichts besseres zu tun gehabt, als meine
Formulare händisch zu quälen. Da kommt auch was zusammen. Aber ab heute
morgen kommen sie im Sekundentakt reingetrudelt. Momentan behelfe ich
mir, indem ich den servereigenen Spamfilter auch auf die eigenen
Formulare loslasse. Klappt ganz gut, weil der Depp ein paar Dinge
unterlassen hat, so dass ich auf solche Unterlassungen filtern kann.
Allerdings ist das keine Dauerlösung, sondern nur für den Augenblick von
solchen Attacken, da das ganz normalen Kunden auch passieren kann.
Außerdem geht es auf meinen Traffic und es bleibt immer das ungute
Gefühl, dass eine "gute" Formularmail durch die Lappen geht.

Grüße

Harald
Christoph Schneegans (15.06.2009, 13:48)
Harald Maedl schrieb:

> Die Formulare habe ich mit Frontpage erstellt. Die Seite läuft
> noch auf einen Server, der die Frontpage Extensions vorhält.


Okay, dann hast du wirklich nicht viele Optionen.

Etwa mit einem CAPTCHA ließe sich das automatisierte Ausfüllen
verhindern, aber das macht sowohl dir als auch den legitimen
Besuchern Arbeit, und das FrontPage-Kontaktformular läßt sich
ohnehin nicht damit ausrüsten. Du müßtest also etwa auf eine PHP-
Lösung o.ä. umstellen. Was steht denn an serverseitigen Techniken
zur Verfügung?
Harald Maedl (17.06.2009, 21:05)
Christoph Schneegans schrieb:
> Harald Maedl schrieb:


> Okay, dann hast du wirklich nicht viele Optionen.
> Etwa mit einem CAPTCHA ließe sich das automatisierte Ausfüllen
> verhindern, aber das macht sowohl dir als auch den legitimen
> Besuchern Arbeit, und das FrontPage-Kontaktformular läßt sich
> ohnehin nicht damit ausrüsten. Du müßtest also etwa auf eine PHP-
> Lösung o.ä. umstellen. Was steht denn an serverseitigen Techniken
> zur Verfügung?


Danke für die Info. Habe ich mir schon fast gedacht. Umstellung auf PHP
wäre möglich. Nun ja, ich überlege momentan auf Sharepoint Designer
umzusteigen. Allerdings scheue ich noch ein bisschen die 315 MB. Bei
meiner Verbindung dauert das - dörfliche Gegend halt...

Grüße

Harald
Frank Müller (20.06.2009, 02:29)
Hallo Harald,

Harald Maedl wrote:
> Christoph Schneegans schrieb:
>> Harald Maedl schrieb:



> Danke für die Info. Habe ich mir schon fast gedacht. Umstellung auf
> PHP wäre möglich. Nun ja, ich überlege momentan auf Sharepoint
> Designer umzusteigen. Allerdings scheue ich noch ein bisschen die 315
> MB. Bei meiner Verbindung dauert das - dörfliche Gegend halt...


PHP funktioniert auch mit FP. Oder auch ASP oder was auch
immer für eine serverseitige Scriptsprache. Auch im Sharepoint
hast du keine Möglichkeit über Einfügen / Formularschutz das
Problem zu lösen, da ist ebenso Handarbeit angesagt wie beim
jetzigen Formular.

Gruß,
Frank
Ähnliche Themen