hallo allemaal.
edit( onderwerpregel klopt niet!!!!)
moet zijn:
ONDERWERP: Formhijjacking mogelijk????
ik heb een webform gemaakt als aspx form. Dit form wordt mbv van code behind file (visual basic) via de local host naar een bepaald adres verstuurd.
ik heb zelf minimale programmeerervaring, maar uiteindelijk na veel zoekwerk toch gelukt. Tijdens de internet zoektochten las ik veel "spook"verhalen over code en form hijacking door personen die je mailserver als relayserver gaan gebruiken.
kan iemand toelichten wat de risico's zijn van ASP.Net 2.0 met een apsx form gekoppeld aan een codebehind bestand, waarbij de localhost niet om een authentificatie vraagt.
hieronder de code:
Imports System.Net.Mail
Imports System.IO
Partial Class HtmlEmail
Inherits System.Web.UI.Page
Protected Sub SendHTMLEmail_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles SendHTMLEmail.Click
Const ToAddress As String = "me@domain.com"
'(1) definieer bericht
'Dim mm As New MailMessage(UsersEmail.Text, ToAddress)
'(2) Neem de veldwaarden van formulier over
mm.Sender = UserEmail
mm.Subject = "Onderwerp"
mm.Body = "<h1>Stuur mij informatie <code>per email</code></h1><p>"
mm.Body = mm.Body & "<p>Het gaat om de volgende productgroepen</p>"
mm.Body = mm.Body & "<p>from: " & UsersEmail.Text & "</p>"
'(3)Ophalen van alle aangevinkte items uit de checkboxlist
dim i
cblProducts.Text=""
for i=0 to cblProducts.Items.Count-1
if cblProducts.Items(i).Selected then
mm.Body=mm.Body & cblProducts.Items(i).Text & "<br />"
'cblProducts.Text+=cblProducts.Items(i).Text + "<br />"
end if
next
'(3) Verstuur als HTML
mm.IsBodyHtml = True
'(4) Definieer SmtpClient object
Dim smtp As New SmtpClient
'(4) Verstuur email met standaard gegevens uit de setting van web.config
smtp.Send(mm)
End Sub
End Class
Ik weet natuurlijk ook best wel dat ergens op het internet het juiste antwoord zal staan, maar ik ben benieuwd naar jullie ervaringen.
groeten
Anton
edit( onderwerpregel klopt niet!!!!)
moet zijn:
ONDERWERP: Formhijjacking mogelijk????
ik heb een webform gemaakt als aspx form. Dit form wordt mbv van code behind file (visual basic) via de local host naar een bepaald adres verstuurd.
ik heb zelf minimale programmeerervaring, maar uiteindelijk na veel zoekwerk toch gelukt. Tijdens de internet zoektochten las ik veel "spook"verhalen over code en form hijacking door personen die je mailserver als relayserver gaan gebruiken.
kan iemand toelichten wat de risico's zijn van ASP.Net 2.0 met een apsx form gekoppeld aan een codebehind bestand, waarbij de localhost niet om een authentificatie vraagt.
hieronder de code:
Imports System.Net.Mail
Imports System.IO
Partial Class HtmlEmail
Inherits System.Web.UI.Page
Protected Sub SendHTMLEmail_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles SendHTMLEmail.Click
Const ToAddress As String = "me@domain.com"
'(1) definieer bericht
'Dim mm As New MailMessage(UsersEmail.Text, ToAddress)
'(2) Neem de veldwaarden van formulier over
mm.Sender = UserEmail
mm.Subject = "Onderwerp"
mm.Body = "<h1>Stuur mij informatie <code>per email</code></h1><p>"
mm.Body = mm.Body & "<p>Het gaat om de volgende productgroepen</p>"
mm.Body = mm.Body & "<p>from: " & UsersEmail.Text & "</p>"
'(3)Ophalen van alle aangevinkte items uit de checkboxlist
dim i
cblProducts.Text=""
for i=0 to cblProducts.Items.Count-1
if cblProducts.Items(i).Selected then
mm.Body=mm.Body & cblProducts.Items(i).Text & "<br />"
'cblProducts.Text+=cblProducts.Items(i).Text + "<br />"
end if
next
'(3) Verstuur als HTML
mm.IsBodyHtml = True
'(4) Definieer SmtpClient object
Dim smtp As New SmtpClient
'(4) Verstuur email met standaard gegevens uit de setting van web.config
smtp.Send(mm)
End Sub
End Class
Ik weet natuurlijk ook best wel dat ergens op het internet het juiste antwoord zal staan, maar ik ben benieuwd naar jullie ervaringen.
groeten
Anton
Laatst bewerkt:
