Q&A
pac894398様
お返事を頂き、ありがとうございます。
もう少し勉強してみます。
今後とも、宜しくお願いします。
お世話になります。
何とぞ、ご教授くださいませ。
自作したホームページに設置しているメールフォームを利用し、昨日の4:30頃に謎の配信がありました。
しかも、そのメールフォームは
1入力
2確認(入力に不備があれば、このページでエラー)
3送信完了
のページに分かれており、例えば氏名など必須項目が
1画面で入力されていなければ、2画面でエラーが表示され、何もエラーがなければ、
3画面に進み、メール送信
エラーがあれば、3画面に進めずメール送信ができない仕様にもかかわらず、
入力項目(氏名やフリガナなど)が全て何も入力されていない空の状態で、メールを受信しました。
外部から、不正なアタックがされているのでしょうか?
使用しているサーバーはロリポップのレンタルサーバーですが、
以前VPSサーバーを使用していた時も過去に1回だけ同じような不可解な現象がありました。
もし、不正な悪意のあるアタックなのであればどのような対応をとると良いでしょうか?
回答3件
0
ベストアンサー
結果から考えて攻撃されたと見ていいと思いますが、詳しい攻撃の内容はここの情報ではわかりません。
ですが、すぐできる対策として幾つか案がありますので、検討してみてください。
案1: 3のメール送信のところで一つずつ項目をチェックするようにする
案2: CAPTCHAをつけてロボットの場当たり的な攻撃を回避
案3: 海外(攻撃の多い国)からのアクセスを遮断
投稿2016/06/10 10:13
総合スコア1895
0
何も対策をしてないのであれば...
ページ「1 入力」 のフォームをコピって action先を 「3 送信完了」に変えてやれば
値をチェックせずに送信できますね。
トークンを使うなどで 対策は可能ですが...。
投稿2016/06/10 06:57
総合スコア429
0
おおかた、CSRFによる攻撃でしょうね。
投稿2016/06/10 06:39
退会済みユーザー
総合スコア0
kousuke_shibuya様
お返事をありがとうございます。
早速ですが、調べましたところ、一応
2確認画面で、
$_SESSION['token'] = session_id();
のように、tokenを発行しておりまして、
3送信画面では、
if ($_SESSION['token'] != $_POST['token']) {
echo "正しい送信ではありません";
}else{
※tokenが一致したら処理
==
のように、対策を行っておりましたが、不十分でしょうか?
一応、3送信画面にダイレクトにアクセスした場合、
「正しい送信ではありません」と表示され、メールが送信されることはありません。
度々大変恐縮ですが、何卒よろしくお願いいたします。
情報が少ないから、これ以上の推測なんてできません。CSRFだって一つの可能性にすぎませんから。
普通サーバの管理者ならログを真っ先に調べるでしょう。
kousuke_shibuya様
お返事を頂き、ありがとうございます。
ログの件も、もう少し勉強してみます。
今後とも、宜しくお願いします。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/06/11 01:45