Уязвимость плагина “ТОП комментаторы” (Top Commentators) для Wordpress
При обсуждении в комментах на блоге Антикорпоратив, обнаружил интересную вещь. Нет, ничего опасного, это не сказать, что прям катастрофа.
Итак, для получения ссылки (хотя бы на время) с морды блога, где есть плагин топ комментаторов:
1. Берем любое имя из топ-комментаторов.
2. Указываем его при вводе комментария к посту.
3. Ссылка в топе комментаторов заменяется на нашу.
Проверено потом, у Димка в его посте про 2000+ подписчиков (Maul, извини за использование ника, это было исключительно в исследовательских целях), сразу после комментирования, ссылка на морде блога заменилась на нужную (введенную в последнем комментарии от имении этого комментатора).
Постоянная ссылка ·
Добавьте на news2.ru
Похожие записи:
- 70% сайтов открыты для взлома
- Синхронизатор файлов по FTP
- Непьющие мужики пройдут маршем по Москве
- Беречь своё время
- В десятке Яндекса :)
dimok said,
Декабрь 19, 2007 @ 01:10
Твой ник поменял. Эксперимент ок. А вообще буду как спам подобные коменты помечать ессно.
Mikhail said,
Декабрь 19, 2007 @ 01:21
Обнаружил, что такое уже было замечено ранее
http://blog.ru-content.net/archives/139
Mikhail said,
Декабрь 19, 2007 @ 13:05
dimok: да не вопрос
я же не собираюсь свой блог выводить за счет таких ссылок 
Янис said,
Декабрь 22, 2007 @ 22:44
Хех, а этот плагин установлен у приличного количества блоггеров. Сейчас спамеры наверняка будут использовать эту дырочку.
Yuriy Drozdov said,
Декабрь 25, 2007 @ 21:04
Интересное наблюдение
Лайфхакер по жизни said,
Февраль 13, 2008 @ 05:39
Только сегодня скачал этот плагин, думал завтра поставить на блоге. Теперь не буду… Спасибо за предупреждение, получается, что при отключенной премодерации со страниц блога любой “нехороший человек” может рекламировать свой чего-нибудь энладжмент.
Премодерацию включил, плагин ф топку!