Главная страница ББ-Wiki Важное Карта сайта

Нежданчик на главной странице

Публикация в группе: Микроблог Штирлица

Офигел, когда сегодня увидел на главной странице сайта не свою, чужую публикацию с рекламой Евросети и платного кредитного отчета у них. Спешно с мобилки отправил статью в утиль. Вот что там было:

Стал разбираться, как это возможно. Публикация в блоге возможна либо в рамках групп-сообществ либо в статусе администратора, последнее отпадает, – я такой один.

Далее, нужно иметь статус автора, что даётся с некоторого времени всем подряд автоматом, вдруг кто изъявит создать группу и там что-то публиковать. Но вот автор этой статьи, запишу себе сюда – alex9328, не создавал групп, и как-то вышел на форму публикации и как-то опубликовал запись аж на главной странице.

Разработчик всей этой штуки – профиль юзера/приватный чат/группы и т.д., к которому я сразу пошел сразу определил – дело в выборе типа публикации, который и сделал такую нехорошую для меня штуку. В следующем апдейте плагина будет пофиксено, а пока что я установил настройку обязательной модерации записей.

И пошел смотреть, что и как рекламирует эта “запретная” запись. Рекламируется получение кредитного отчета из НБКИ за 5 минут и за “конские” 900 руб. Евросетевская картинка несёт в себе нечитаемый и неоткрывающийся урл.

А большая мотивирующая к переходу кнопка “Подробнее” ведет на такой урл.

Update. Оказывается, это не совсем уязвимость была, т.к. разработчик плагина внедрил форму публикации прямиком каждому в личный кабинет:

И автор не хотел ничего рекламить, просто скопировал текст с сайта Евросети.

На данный момент менюшка публикации остаётся, но записи уходят на обязательную модерацию. Автор темы про Евросеть получил благодарность словом и денюжкой.

5 комментариев: Нежданчик на главной странице

  • solyar говорит:

    Штирлиц,закручивай гайки-враги не спят.

    0
  • Soros говорит:

    Не думаю что публикация статьи принесла публикатуру хоть какую то ощутимую прибыль. А вот наличие лазеек доказала.

    0
  • student говорит:

    Начнем с того, что статус “Админ” светится на некоторых страницах и у других пользователей. А у меня, например, есть право делать публичным-приватными и редактировать некоторые записи. В общем, дырень это со всех сторон, поэтому тезис “Слил тему – сдохла” работает 100%, даже при скрытной публикации. Не всегда сразу. Но работает.

    0
    • Shtirlitz говорит:

      Это сторонний плагин вопросо-ответов, о проблеме редактирования знаю и давно уже чешу в затылке, т.к. его разбработчики – буржуи и как к ним подкатить – не знаю. 😕

      0

Добавить комментарий

Объявление

Это архивная версия сайта. Перейдите на blogbankir.ru

Полезное

Были удалены ссылки на долго не обновляемые материалы

Все mcc-коды (справочник)
Пользователи сайта
Гаранты сделок на сайте
Anybalance – незаменимая Android-программа балансов всего и вся.

Сообщества блога и микроблог Штирлица (обн. 13.06.2017)
Заметки индейца о пути хоббиста (обн. 20.08.2017)
Цитатник блога
Фин-анекдоты и байки
Секретный словарик
Обналичка без потери ЛП
(Не)/Честный грейс

Полезные ссылки

Bestchange (мониторинг обменников)
Околохоббистская тематика:
Храни Деньги
Деньгомер.info
Зарплата №13: доход в режиме хобби