[Postfixbuch-users] abuse.net
Heiner Lamprecht
heiner at heiner-lamprecht.net
So Sep 26 15:56:56 CEST 2004
On Sunday 26 September 2004 15:39, Daniel Sepeur wrote:
>
> > Was sind das für Skripte? Kann man da die Empfängeradresse
> > selbst eingeben? Oder dienen die als "Feedback-Formular"?
> > Dann wäre ja die Empfängeradresse fest und darf nicht, auch
> > nicht durch einen entsprechenden Aufruf des Skriptes, geändert
> > werden.
>
> Die Recipients sind in den Programmen zwar fest eingegeben, aber
> es wäre denkbar, dass sie auch irgendwie anders übergeben werden.
Die Formmail-Skripte, die ich kenne, hatten die Empfägeradresse im
Formular selbst abgelegt, sie kam also als Parameter mit der
HTTP-Anfrage auf den Server. Dort wurde sie ungeprüft
weiterverwendet. Ein kleines Bash-Skript, das eine Liste von
E-Mail-Adressen abarbeitet und jedes mal wget aufruft, reicht aus,
um jeden Mailserver lahm zu legen (eigene Anbindung sollte ganz gut
sein ...).
> Ich bin leider kein Hacker, aber ich denke, dass man einer werden
> muss, um seinen eigenen Server im Netz stehen zu haben. Ganz
> schön dämlich, die Welt da draussen.
Als Empfehlung:
Huseby, Sverre H. [2004]: 'Sicherheitsrisiko Web-Anwendung. Wie
Web-Programmierer Sicherheitslücken erkennen und vermeiden', dpunkt
Verlag
Sehr gut zu lesen und in vielen Dingen durchaus ein Augenöffner.
Heiner
--
heiner at heiner-lamprecht dot net GnuPG - Key: E05AEAFC
Fingerprint: 257A DFBF 4977 4585 77A0 3509 973B 92AA E05A EAFC
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: nicht verfügbar
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20040926/c9afc5c9/attachment.sig>
Mehr Informationen über die Mailingliste Postfixbuch-users