Det var en gång...

Flera decennier inom QA ger en del dråpliga och insiktsgivande berättelser att förmedla. För min egen skull har jag börjat beskriva en del av dessa här.

Detta är en av dem.

Telnet på port 25

Häng med nu. Först blir det lite teknisk bakgrund innan vi kommer in på kärnan i denna story.

TCP/IP-stacken är gammal och spännande. Den är uppdelad i TCP som är transportmekanismen som ser till att meddelanden kommer fram och IP som är adresseringssystemet så att TCP vet vart varje paket ska.

Sedan starten har TCP även haft ett antal standardapplikationer (HTTP, SMTP, FTP o.s.v.) som var och en fått sina egna portar. SMTP (SendMail Transfer Protocol) är mailprotokollet i TCP/IP-stacken och den okrypterade versionen av detta har tilldelats port 25. SMTP är även ett väldokumenterat och textbaserat protokoll vilket gör det tacksamt för hackande.

Om man har tillgång till en mailserver (man kan ladda hem egna sådana och ha på sin egen dator) så kan man använda TELNET och koppla upp sig mot denna på port 25 och författa sina egna epostmeddelanden - komplett med reply-to-address, namn, subject, meddelande och bilagor.

Numera har många epostklienter ganska bra cross-site-scripting-skydd, men så var inte alltid fallet.

Anar ni vart det är på väg när busiga testnördar får tillgång till att skicka epost som vem som helst till vem som helst? :-o

Lärdom