--------------------------------Linux Guide---------------------------------- by Ingo Blechschmidt (c) 2002 ----------------------------------------------------------------------------- ------------------------- lynx+post_data=Spam ------------------------- Son Apr 21 11:05:23 MEST 2002 ------------------------- lynx post_data Spam E-Mail links w3m ----------------------------------------------------------------------------- Mit lynx -post_data sind viele Webseiten ein leichtes Spiel für Cracker. Dieser Artikel vermittelt die Anwendung und vorbeugende Maßnahmen. ----------------------------------------------------------------------------- Exploits zu veröffentlichen gehört zu umstrittenen Dingen, aber wenn es so simpel ist... Auf der Webpräsenz von Mountain Wilderness Deutschland, ein Verein für Umweltschutz und Bewahrung der Wildnisgebiete der Alpen, welcher nur beführwortet werden kann, gibt es die Möglichkeit, Mitgliedschaft zu beantragen. Dabei kommt ein simples Perl-Skript zum Einsatz, welches die eingegebenen Daten an eine E-Mail-Adresse sendet. Das Skelett: --------CODE--------: mwd-send.html
--------/CODE-------- Im _MAILTO-Feld muss die Zieladresse eingegeben werden. /cgi-bin/postmail.pl prüft dann nur, ob der Referer stimmt. Dieser aber kann relativ leicht umgangen werden: In siehe <"http://links.sourceforge.net">Links, einem textbasiertern Browser, kann man unter Einstellungen->Netzwerk-Optionen->HTTP-Optionen->Sende verlangte URL als Referer genau die benötigte Einstellung vornehmen. Wer sich dazu mit lynx auskennt, kann schnell ein kleines Shell-Skript schreiben, und damit das ganze automatisieren. Fazit: Dieser Schutz ist leicht zu umgehen. Als Webmaster sollte man folgende Punkte beachten: * Nur eine IP-Adresse pro fünf Minuten erlauben. * Unten Umständen Cookie-Sperre. * Bei dauerhaften Missbrauch in den Serverlogs nach der IP-Adresse des Spammers suchen und bei dessen Provider seinen Namen und Adresse erfragen. ----------------------------------------------------------------------------- ----------------------------------------------------------------------------- This document is distributed under the terms of the GNU Free Documentation License.