Skip to content

Nachricht von kauf-dich-satt.de

Geschrieben von Björn Harste am
Wenn jemand über das Kontaktformular der Firmenwebsite eine Anfrage stellt, werden mir diese via E-Mail zugestellt. Das sieht dann erst mal so aus:



Hier habe ich mir einfach mal ein leeres (resp. jeweils mit "-" ausgefülltes) Formular zugeschickt. Zu erkennen sind die vier Felder "Name", "E-Mail", "Telefon" und "Nachricht. (Offenbar hatte ich beim Screenshot einen Teil des Textes markiert gehabt, daher die Färbung.)

Normales Kontaktformular


Diese reichlich mysteriöse E-Mail bekam ich nun zugestellt. Kann das jemand erklären? Wie ist das zu schaffen?

Sonderbares Kontaktformular

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Eumeltier am :

Da in dem Formular die Feldnamen mitübertragen werden, kann man über die Entwickler-Werkzeuge (Inspektor, HTML ändern) relativ leicht den lokalen Code ändern und dann übertragen, was man will...

Fabian am :

Entweder ist das Script dahin fehlerhaft, dass es die Feldbezeichnungen durch die Werte ersetzt, oder dem Script ist es egal, was für Formularfelder gesendet werden.

Im letzteren Fall könnte man dann nämlich einfach im Browser den HTML Code verändern und die Felder umbenennen.

masterX244 am :

Da sollte ein Formular gekommen sein mit der Selben Email wie dieser Kommentar und statt Telefon sollte "Auch vom client" stehen.
Wenn das so ist weiß ich was da los ist. Die linken Felder werden auch im FOrmular als versteckte Felder gespeichert und mitgesendet und mit den Entwicklertools im BRowser kann man das passend machen
(sorry, webentwickler hier)

J am :

Das war ein Spam-Bot. Das Kontaktformular hat versteckte Felder, die NAME1, NAME2, NAME3 etc. heißen. Der Spam-Bot füllt jetzt einfach die Felder mit beliebigen Namen und sendet das Formular ab.

snm am :

Sieht so aus, als würde dein Server beim Annehmen der Formulardaten, nicht korrekt prüfen ob die Feldnamen der Übermittelten Felder auch wirklch die aus dem Formular sind (Zumindest Name, Telefon, Nachricht). Dann kann man das Formular bzw. den Request so umgestalten, dass die Namen geändert sind.
Sollte das Problem wirklich in die Richtung "Mangelhafte Prüfung der Daten" gehen sind da auch richitg böse Angriffe auf dich möglich.
Dann kann man dir in deine Mail nämlcih uU auch Schadcode einschleußen.

MSG am :

#1 hat recht. Der verwendete Formmailer macht es sehr einfach, solche Formulare auszuwerten. Dafür kann man dafür aber auch jede Menge Schabernack machen.

Die Feldbezeichner werden über versteckte Eingabefelder übermittelt (die spitzen Klammern habe ich weggelassen)

input type="hidden" name="NAME1" id="NAME1" value="Name"

Grüße, Mathias

Uwe am :

Danke für den Hinweis, ich gebe es an die Kollegen weiter.

Schnelle Lösung: reCAPTCHA aktivieren.

masterX244 am :

Web-Entwicklung Regel Nummer 1: Der Browser ist in der Hand des Feindes.... (deshalb prüft man immer alles serverseitig)

Rumpel am :

Kann ich nur unterschreiben.

Regel 1.2: Der Feind kennt deinen Quellcode und deine Datenstruktur.

Nur registrierte Benutzer dürfen Einträge kommentieren. Erstellen Sie sich einen eigenen Account hier und loggen Sie sich danach ein. Ihr Browser muss Cookies unterstützen.

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!