Błąd w internetowym serwisie aukcyjnym Allegro.pl nadal aktualny

Wczoraj opisaliśmy błąd jaki występował w internetowym serwisie aukcyjnym Allegro.pl pozwalający na wyświetlenie dowolnego tekstu który pojawi się na każdej stronie serwisu. Dzisiejszego dnia, zapewne większość z Was zauważyła, że błąd ten został już poprawiony. Ale czy na pewno?

Bezpośrednie przesłanie informacji w adresie URL tak jak było to opisane w poprzednim przypadku nie wyświetli już ich, ale można to obejść w nieco inny sposób. Otóż wystarczy stworzyć prosty formularz w HTML:

<form action=”http://www.allegro.pl” method=”post”>
<input type=”hidden” name=”errmsg” value=”MAGICZNE SŁOWO”>
<input type=”submit”>
</form>

zaś w miejsce oznaczone jako MAGICZNE SŁOWO wpisujemy nasz dowolny tekst bądź dowolny kod HTML. Jak zatem widać zmienna „errmsg” przyjmuje odpowiednią wartość „magicznego słowa” i co ciekawsze nie trzeba już podczas wpisywania odpowiednich znaczników w języku HTML (jak to miało miejsce w poprzednim przypadku) uwzględniać przed jego końcem znak spacji (%20).

Sposób ten jest o tyle bardziej niebezpieczny, iż dzięki zastosowaniu metody „post” użytkownik niczego podejrzanego nie zauważa, gdyż w polu adresu widnieje tylko http://www.allegro.pl a to otwiera nowe możliwości oszustom internetowym.

aktualizacja (2004-04-24): Błąd ten jest już nieaktualny.