タグ「SquirrelMail」が付けられているもの

XREA.com SquirrelMail の裏ワザ

裏ワザなのかどうかも知らんけど。

<form method="POST" action="https://ss[n].xrea.com/www.s[nnn].xrea.com/mail/src/compose.php?mailbox=INBOX&startMessage=1" target="_blank" accept-charset="EUC-JP"><!-- EUC-JP がミソ. 常用外漢字などを使う場合は UTF8 でも Shift_JIS もダメ -->
<input type="hidden" name="send_to" value="送信先">
<input type="hidden" name="send_to_cc" value="CC">
<input type="hidden" name="send_to_bcc" value="BCC 指定">
<input type="hidden" name="subject" value="件名">
<input type="hidden" name="body" value="本文">
<input type="hidden" name="login_username" value="ログインユーザ名"><!-- 自分のメールアドレス -->
<input type="hidden" name="secretkey" value="メールログインのパスワード"><!-- ウェブメールのメールログインのところのソースを見てみると、secretkey という name で、生で書かれてる... -->
<input type="submit" name="login" value="SSL" >

これで、SquirrelMail にデフォルトで文章を突っ込んだ状態でアクセスできるw

これを見つけたきっかけは、アカウント登録用のメールを自動送信したいなぁ、と思って xrea SquirrelMail のソースコードを見てたところ、form の input タグに name の指定とかあったのを見つけて
「もしかして...」と思って GET で渡したら値が入った。

んで、長い本文をいれたら怒られたので、じゃあ POST だろ、と思って POST データを送ってみたところ、入ってしまった、と。

これってセキュリティ的にどうなん? というのもありつつ...。
あ、セキュリティ的にやばかったら、ここで公開するのもマズイのか?

...。

一応報告しておこ...


XREA のメールサービスって連絡先がねぇ!!!!!

...黙っておこう。うん。