Name="lynx+post_data=Spam" Stich="lynx post_data Spam E-Mail links w3m" Zeit="Son Apr 21 11:05:23 MEST 2002" Kurz="Mit lynx -post_data sind viele Webseiten ein leichtes Spiel für Cracker. Dieser Artikel vermittelt die Anwendung und vorbeugende Maßnahmen." Lang=" Exploits zu veröffentlichen gehört zu umstrittenen Dingen, aber wenn es so simpel ist...
Auf der Webpräsenz von Mountain Wilderness Deutschland, ein Verein für Umweltschutz und Bewahrung der Wildnisgebiete der Alpen, welcher nur beführwortet werden kann, gibt es die Möglichkeit, Mitgliedschaft zu beantragen. Dabei kommt ein simples Perl-Skript zum Einsatz, welches die eingegebenen Daten an eine E-Mail-Adresse sendet. Das Skelett: `exCodes mwd-send.html` <form action="http://www.mountainwilderness.de/cgi-bin/postmail.pl" method="post"> <input type="text" name="_MAILTO" /> <input type="text" name="vorname" /> <input type="text" name="name" /> <input type="text" name="strasse" /> <input type="text" name="ort_plz" /> </form> `exCodee` Im _MAILTO-Feld muss die Zieladresse eingegeben werden. /cgi-bin/postmail.pl prüft dann nur, ob der Referer stimmt. Dieser aber kann relativ leicht umgangen werden: In Links, einem textbasiertern Browser, kann man unter Einstellungen->Netzwerk-Optionen->HTTP-Optionen->Sende verlangte URL als Referer genau die benötigte Einstellung vornehmen. Wer sich dazu mit lynx auskennt, kann schnell ein kleines Shell-Skript schreiben, und damit das ganze automatisieren. Fazit: Dieser Schutz ist leicht zu umgehen.
Als Webmaster sollte man folgende Punkte beachten: " case $1 in Name) echo $Name; exit;; Stich) echo $Stich; exit;; Zeit) echo $Zeit; exit;; Kurz) echo $Kurz; exit;; Lang) echo $Lang; exit;; esac # if [ "$1" = "Name" ]; then echo $Name; fi mself_vA="txt/0012.txt txt/0036.txt txt/0059.txt txt/0060.txt txt/0066.txt txt/0067.txt txt/0073.txt txt/0077.txt txt/0079.txt txt/0085.txt txt/0092.txt"