Tux L i n u x * G u i d e
v o n * I n g o * B l e c h s c h m i d t * ( c ) * 2 0 0 1 		Tux
|Home|

|Neue Artikel|

|Index|

|Liste|

|Code-Snippets|

|Links|

|Allgemeines|

|Cool Stuff|
lynx+post_data=Spam
Son Apr 21 11:05:23 MEST 2002
lynx post_data Spam E-Mail links w3m

Mit lynx -post_data sind viele Webseiten ein leichtes Spiel für Cracker. Dieser Artikel vermittelt die Anwendung und vorbeugende Maßnahmen.

LinuxGuide Druckbare Version
Man-Page
Sourcecode
Verwandte Artikel:

HTML-Markups in Text umsetzen
E-Mail-Liste
Webschnapper in Shell-Skript
Optical Character Recognition (OCR) mit gocr
DynDNS.org Client
Seiten zählen und drucken
E-Mail-Provider-Statistik
Anonym E-Mails versenden
E-Mails sichern
Webschnapper (2) in Shell-Skript
Adressensuche
 


      .~.   
      /V\   
     // \\  
    /(   )\ 
     ^`~'^


Hosted at Sorceforge.net
No ePATENTS
Viewable With Any Browser
Burn All GIFs!

E
xploits zu veröffentlichen gehört zu umstrittenen Dingen, aber wenn es so simpel ist...
Auf der Webpräsenz von Mountain Wilderness Deutschland, ein Verein für Umweltschutz und Bewahrung der Wildnisgebiete der Alpen, welcher nur beführwortet werden kann, gibt es die Möglichkeit, Mitgliedschaft zu beantragen. Dabei kommt ein simples Perl-Skript zum Einsatz, welches die eingegebenen Daten an eine E-Mail-Adresse sendet. Das Skelett:
# mwd-send.html
 
<form action="http://www.mountainwilderness.de/cgi-bin/postmail.pl"
method="post">
  <input type="text" name="_MAILTO" />
  <input type="text" name="vorname" />
  <input type="text" name="name" />
  <input type="text" name="strasse" />
  <input type="text" name="ort_plz" />
</form>
 
 

Im _MAILTO-Feld muss die Zieladresse eingegeben werden. /cgi-bin/postmail.pl prüft dann nur, ob der Referer stimmt. Dieser aber kann relativ leicht umgangen werden: In Links, einem textbasiertern Browser, kann man unter Einstellungen->Netzwerk-Optionen->HTTP-Optionen->Sende verlangte URL als Referer genau die benötigte Einstellung vornehmen. Wer sich dazu mit lynx auskennt, kann schnell ein kleines Shell-Skript schreiben, und damit das ganze automatisieren. Fazit: Dieser Schutz ist leicht zu umgehen.
Als Webmaster sollte man folgende Punkte beachten:
  • Nur eine IP-Adresse pro fünf Minuten erlauben.
  • Unten Umständen Cookie-Sperre.
  • Bei dauerhaften Missbrauch in den Serverlogs nach der IP-Adresse des Spammers suchen und bei dessen Provider seinen Namen und Adresse erfragen.
Document Informations: Content-Type: text/html; charset=iso-8859-1
Author: Ingo Blechschmidt
Description: LinuxGuide - Mit lynx -post_data sind viele Webseiten ein leichtes Spiel für Cracker. Dieser Artikel vermittelt die Anwendung und vorbeugende Maßnahmen.
Keywords: lynx, post_data, Spam, E-Mail, links, w3m, LinuxGuide
Robots: all
Copyright: Copyright (C) 2002 by Ingo Blechschmidt
Date: 2003-04-21T11:05:23+02:00

Stichwortverzeichnis | Neue Artikel | Übersicht | Codesnippets | Links | Copyright | Cool Stuff | Home | Druckbare Version | Manpage | Sourcecode | 		Diesen Artikel kritisieren, kommentieren oder ergänzen
Einen Neuen Artikel schreiben

 
This website is distributed under the GNU Free Documentation License .