Si perchè per inviare la mail usa la mail presa dal database
1 Like
Mi chiedo da anni perchè il data entry sul web deve essere “digita e submit” e poi il parsing/validazione deve avvenire a valle.
Mi ricordo da ragazzo mi sviluppai sul c64 una routine di input controllato molto parametrica.
Mi serviva per partorire dei campi a video di data entry ma volevo il totale controllo dell’input.
In pratica passavo il charset che desideravo alla funzione e leggevo il buffer della tastiera scartando il char che non volevo, cioè validando l’esclusione già durante la digitazione.
Appena premevi return resettavo il buffer per cui non potevi nemmeno fare il figo.
Potevo pure stabilire se alla posizione x volevo un numero o un carattere alfabetico.
Poi con i caratteri semigrafici simulavo l’aspetto visivo e decodificavo solo il char che desideravo, lo visualizzavo all’utente e lo memorizzavo in una variabile char x char. Avevo definito pure i parametri di lunghezza minima, massima, obbligata, oppure non vuoto, coi beep se premevi un char invalido.
Per cui alla fine il contenuto della variabile del campo di input era impossibile che contenesse un char non desiderato.
Mi ero fatto pure il blinking del cursore parametrico, colori, pure il tic acustico quando digitavi.
Per dire oggi vedo che i form del cazzo che trovi sul web sono dei campi che possono contenere qualsiasi porcata in fase di digitazione.
Come se si fosse persa la storia dei fondamentali. Eppure mi risulta che esistono le maschere di input a livello di engine che fanno più o meno questo ma li trovo di rado attivi, come se pesasse il culo a chi implementa un input.
Certe volte pare quasi "e se poi il tipo si chiamasse YZ^4♡ pee davero, e al campo cognome amo messo solo A-Z come maschera, cazzo famo? Diventa apolide all’anagrafe?
Dimentichi che molte web apps usano APIs under the hood. Anche se hai filtri per e.g. rimuovere alcuni charatteri mentre digiti in un campo in una pagina, un attacker puo’ comunque bypassare il frontend e comunicare con la API direttamente, inviando quello che vuoi :)
1 Like
Trovata la stessa vulnerabilita’ su ben 13 targets oggi :D E’ un problema molto diffuso!
Giornata grassa
