nicht angemeldet
hi,
ich kenne den Mechanismus, der sich hinter Header-Injection versteckt, nicht.
Die Wikipedia ist diesbezüglich doch schon recht ausführlich:
http://de.wikipedia.org/wiki/E-Mail-Injektion
Kurz gesagt besteht das Grundproblem in Folgendem:
Die Header einer Mail werden durch \r\n voneinander abgegrenzt.
Jetzt möchtest du beim Versenden einer Mail mich als Benutzer den Betreff - auch der gehört ja noch zu den Headern - über ein Formular mitgeben lassen. Du erwartest, dass ich "Anfrage bezüglich xyz" ins Formularfeld eintippe, das würde dann eine Headerzeile der Form
Subject: Anfrage bezüglich xyz\r\n
in der Mail ergeben.
Nu bin ich aber böse, und übermittle stattdessen "Anfrage bezüglich xyz\r\nbcc: another.user@example.org"
Watt kommt da raus? Genau,
Subject: Anfrage bezüglich xyz\r\n
bcc: another.user@example.org
Und schon geht die Mail nicht mehr nur an die Adresse, die du in deinem Script festgelegt hast, sondern auch an another.user@example.org.
gruß,
wahsaga
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }