MailMan z błędem – czyli darmowe wysyłanie poczty

MailMan to system obsługi kont pocztowych umożliwiający w łatwy i wygodny sposób zarządzanie kontem poprzez stronę internetową. Jak się okazuje wszystkie wersje posiadają błąd który umożliwia bez znajomości odpowiedniego użytkownika i hasła wysłać pocztę.

MailMan został w całości napisany w CGI i jak informują autorzy od 1997 roku został pobrany 35 tysięcy razy. Ów system nie jest darmowy – osoby zainteresowane mogą go zakupić wersję standardową za 250 dolarów i wersje profesjonalną za 400 dolarów.

Niestety poprzez niedopatrzenie autorów w bardzo łatwy sposób można bez znajomości odpowiedniej nazwy użytkownika i hasła wysłać pocztę. Wystarczy, że znajdziemy serwer, na którym działa system MailMan, po czym wywołamy następujący adres: /mmstdo.cgi?NEW=true a wówczas zostaniemy przekierowani do formularza umożliwiającego wysyłanie poczty.

Aby przyjrzeć się dokładne powyższemu problemowi, przedstawimy to na przykładzie serwisu www.konto.pl gdzie mamy możliwość rejestracji darmowej skrzynki pocztowej o pojemności 300 MB. Oczywiście zgodnie z informacjami znajdującymi się na tej stronie, należy uprzednio zarejestrować się by móc korzystać z darmowej poczty.

Nie tracąc czasu na zapoznanie się z regulaminem i przechodzenie przez procedurę zakładania darmowego konta, niezwłocznie wywołujemy w przeglądarce następujący adres: http://www.konto.pl/cgi-bin/mmstdo.cgi?NEW=true i w ten oto szybki sposób możemy wysyłać „za darmo” pocztę.

Jak już wcześniej zostało wspomniane, program pobrało 35 tysięcy osób, a dzięki wyszukiwarkom większość z nich możemy bez problemu znaleźć. Na dziesięć przypadkowo wybranych stron wyżej opisany błąd działa na wszystkich. Dodam jeszcze, że w większości przypadków korzystanie z konta pocztowego było możliwe wówczas po jego uprzednim wykupieniu.