問い合わせ内容などの文字数制限 Part4 (質問ID:1671) (質問ID:1866)

カテゴリ 自動フォーム・ツールに関する質問
タイトル 問い合わせ内容などの文字数制限 Part4 (質問ID:1671) (質問ID:1866)
質問者 kuraraさん (696)
質問日時 2024/07/23 09:43 回答数 10
メディア共有 このエントリーをはてなブックマークに追加
質問内容

5月に文字制限の方法をアドバイス頂きましたが、相変わらず長文の迷惑メールが頻繁に届くような状況です。

当時に指示された変更箇所は対応済みです。
入力チェックに文字数チェックを追加します。
(229行付近にあります)
// 入力のチェック
if ($_REQUEST["mode"] == "form") {
if ($val["limit"] && (strlen($form[$val["name"]]) > $val["limit"])) {
$msg[$val["name"]] = $val["title"] . "の文字数が多すぎます。";
}
-----------------------------------------------------------------------------
270行付近です。
if (!$_REQUEST["mode"]) {
$mode = "form";
} else if ($msg) {
$mode = "form";
} else if ($_REQUEST["mode"] == "reinput") {
$mode = "form";
-----------------------------------------------------------------------------
ちなみに、同様の対策を複数サイトで実施して運用していますが、同じ結果です。
(文字制限数は100文字です)

参考までに受信したメール本文を記載しておきます。
-----------------------------------------------------------------------------
次の問合せがありました

■お名前:青木義則
■メールアドレス:info@kyoukan1.net
■電話番号:0356570977
■お問い合わせ内容:
補助金支援サービスのご案内【貴社の業務効率化とコスト削減をサポート】

突然のご連絡失礼いたします。
株式会社Kyoukanの青木と申します。

弊社は企業様の「オーダーメイド型補助金支援サービス」を提供し、
貴社の経営課題に対する最適な解決策をご提案いたします。
国、都道府県、市区町村の補助金や助成金を活用して、
申請書類作成から入金まで一貫してサポートいたします。

弊社のサービスの利点:
・情報収集から申請書類作成まで全工程をサポート
・成功報酬型でリスクなし
・高い採択率と豊富な実績

弊社は、平均採択率88%、累計採択社数100社以上の実績がございます。
最新の情報を基に貴社の業務効率化とコスト削減に貢献できる最適な提案を行います。

例として、以下のような取り組みが補助金の対象となります。
・業務効率化のためのシステム導入
・新規市場開拓
・省エネ設備の導入

補助金等の有効活用にご興味ございましたら、
下記お問合わせフォームURLからご連絡ください。
何卒、宜しくお願い致します。

<お問合わせフォーム>
https://kyoukan1.net/contact/


株式会社 Kyoukan
営業担当:青木 義則
電話連絡先 : 03-5657-0977
HP:https://kyoukan1.net
-----------------------------------------------------------------------------
今一度、抜け道などが無いかの確認を願います。

質問に回答するには、ログインしてください。

回答(10件)

回答者:
q19cms担当者さん (2341)
回答日時:
2024/07/29 11:47

ご指摘等、ありがとうございました。
検討および対応をしていきたいとおもいます。

なお、「被害を受けるサイトURLがリストとして流出しているよう」については、なにか
客観的事実がありましたら、お教えください。
もし、無いようでしたら、掲示板等への書き込みはお控え頂くと助かります。

大変参考になりました

回答者:
kuraraさん (696)
回答日時:
2024/07/29 11:09

ご回答ありがとうございます。

>『Web Design:Template-Party』については、テンプレートパーティさんのライセンスを取得していただいて.....
これはすでに半年以上前に対応済みですが、被害を受けるサイトURLがリストとして流出しているようで、抑止効果がありませんでした。

>index.phpの問い合わせ処理部分を削除する方法は、
指示頂いた箇所はすでに削除して対処済みです。
加えて、下記のようにtoiawaseから変移した場合でも、強化した問合せフォームが表示されるように加工しました。
//複数フォーム対応(動的に自動フォーム内容を変更)
if (($act == "contact")||($act == "toiawase")) {
if ($_REQUEST["id"]) { // IDが指定されている場合
$item = get_item($_REQUEST["id"]);

最後となりますが、今後の対処として「試用版のダウンロード」や「操作説明」などは、掲示板のようにユーザー登録してログインしないと入手できないなど、最低限のセキュリティ強化を希望します。

回答者:
q19cms担当者さん (2341)
回答日時:
2024/07/29 09:53

各情報、ありがとうございます。

toiawaseは、CMS利用者が、そのままで3項目の問い合わせを利用できるように付属しているものです。
自動フォームなどをご利用の場合は、使用しないとおもいますので、削除されると良いとおもいます。
この点は、説明不足の点もあるとおもいますので、見直しを行いたいとおもいます。

index.phpの問い合わせ処理部分を削除する方法は、

if (($act == "toiawase")||($act == "toiawase_reinput")) {

の行からトップページの直線の問い合わせ処理部分を削除することで行えます。
これは、CMSの種類や提供時期により異なる場合がありますので、わからない様であれば、
index.phpをお送りいただければ、こちらで対応してお返しいたします。
(送付先:cms@q19cms.com)

『Web Design:Template-Party』の件についてもありがとうございます。
これが目印にされていることと、CMSは試用版を配布しているので、これを悪用されている
可能性があるとおもいます。

『Web Design:Template-Party』については、テンプレートパーティさんのライセンスを取得
していただいて、削除し、自サイトの著作権表示にしていただくことが良いとおもいます。
この点についても、告知及び広報が不足しているので、強化したいとおもいます。



回答者:
kuraraさん (696)
回答日時:
2024/07/28 18:55

お世話になります。
表題の「文字制限」を越えた勧誘メールについて、当方で改めて症状を確認したところ、下記の方法で文字制限が掛からない状況を確認できました。
「CMS用お問い合わせツール説明」に沿って文字制限およびキャプチャ認証を搭載した問い合わせフォームを実装したのですが、サイトURL/?act=toiawase でダイレクトに入力すると既知の問い合わせフォームが開き、無制限の状態で勧誘メールを送る事が可能です。
サイト上の「問い合わせ」ボタンなどを使った場合は、サイトURL/?act=contact とりますし、物件問い合わせなどでも、act=contact&id=40 のように自動フォームが正常に機能します。

4月のCMSの脆弱性と同様かもしれませんが、q19cmsさまのシステム仕様をある程度理解された方が、悪意な方法で抜け道の情報を流しているように感じます。
(不特定多数のサイトからの勧誘メールが届くことから)

「CMS用お問い合わせツール説明」では、/?act=contact の処理を追加する説明ですが、/?act=toiawase はそのまま残っている事が問題?

後先となりましたが、今回の暫定的な対策として「toiawase.html」を別名にすることで回避していますが、正式な対応方法などのご教示お願い致します。

回答者:
kuraraさん (696)
回答日時:
2024/07/26 16:22

お世話になります。
費用については了解しました。

問合せフォームに勧誘メールが届くサイトは、HP最下部の著作表示『Web Design:Template-Party』が
設定された高機能CMSだったように考えます

4月に発生したCMSの脆弱性についても、『Web Design:Template-Party』の表記があるものが先に影響を受けたと思いますし、上記のキーワードでネット検索すればある程度は機械的に絞り込まれたように感じていました。
(当方の勝手な思い込みかもしれません)

ちなみに今回影響を受けているサイトでは複数の問合せフォーム(点検問い合わせ、購入問い合わせ、その他問い合わせのように)を使っていますが、攻撃されているものは単純に「問い合わせ」から変移して送信された物のようですが、この場合でもform.phpの修正1件の対応でよろしいでしょうか?
(form.phpの数分(例えば3件)の費用が発生するのでしょうか?

お手数をおかけしますが、よろしくお願い致します。

回答者:
q19cms担当者さん (2341)
回答日時:
2024/07/26 14:09

基本的にカスタマイズ等は、5千円からでお願いしています。
内容により見積もりいたしますが、今回の場合は5千円で対応可能と思います。
(form.phpの修正で対応できる範囲についてです)
万一、ご注文時点の目的が達成できない場合は、費用はお返しいたします。

> テンプレートパーティー様のテンプレートを使っているサイトを狙って攻撃されているような気もします。

これは基本的にあり得ないとおもいます。
使用しているサイトは、当方でも把握していませんし、外部から問い合わせフォームを見ても
わかりません。(わざわざ探して行うくらいなら、テンプレートパーティ殿や当方に対して
おこなった方が目的が達成できそうです)

もし、疑わしい事実がありましたら、お知らせください。調査いたします。

回答者:
kuraraさん (696)
回答日時:
2024/07/26 12:16

先日のご回答で「有償での対応」とありましたが、具体的な費用、納期、その後の対応(改善が出来ていない場合)など、詳しい情報をお願い致します。

回答者:
kuraraさん (696)
回答日時:
2024/07/23 12:07

追記となりますが、問い合わせフォームを使ってセールスメールを送る業者は国内の複数業者(メールアドレスなどはその都度変わる)状況です。

テンプレートパーティー様のテンプレートを使っているサイトを狙って攻撃されているような気もします。

参考になれば幸いです。

回答者:
kuraraさん (696)
回答日時:
2024/07/23 12:02

早速のご返答ありがとうございます。
アドバイス頂いた「キャプチャ」はすでに1年以上前に導入済みです。
また、文字数制限はHTML側だけでなく、指示頂いたPHPの改修も行っています。
運用している複数サイトのうち、汎用CMSなどに導入しているもので発生していて、単体で問い合わせフォームを利用しているサイトでは、キャプチャを導入後に抑止されたように思います。

有償でとのご回答ですが、対応できるのでしょうか?

回答者:
q19cms担当者さん (2341)
回答日時:
2024/07/23 11:01

対策した部分を通らずに直接メール送信処理へデータを送ってきているのだとおもいます。

この様な場合は、「キャプチャ」を利用されると、対策が可能です。キャプチャのご利用をご検討ください。
また、海外の無意味な内容ではなく、相手先がわかっている場合は、相手先に抗議することや、法的措置を取ることを通知するのも効果があるかもしれません。

プログラムで対応する場合は、送信時に文字数をチェックして、一定文字数以上の場合は、送信しないなどの対応も考えられます。
もしご希望でしたら、有償での対応が可能です。
必要がありましたらお問い合わせください。

10件中 1 ~ 10