New Horizon Team

*Примечание: Этот текст можно использовать только для ознакомления и последующей защиты своего блога. По материалам ВанДер Граафа.

Как взломать комментарии в WordPress?
WordPress считается одним из самых защищенных движков, но и он имеет некоторые уязвимости. Я расскажу как с помощью правильной последовательности команд ТВОЙ блог смогут взломать и спокойно добавлять комментарии в без ведома администратора.
1. Найдите блог на движке WordPress где вы хотите поместить комментарий, но модератор вам этого никогда не позволит.

2. Создайте страничку, содержащую некоторую информацию, но с очень маленьким iframe. Оставьте пустым URL для iframe.

3. Найдите где расположен wp-login.php. Обычно он располагается в той же директории что и блог.

4. Введите комментарий, который вы хотите добавить, но не нажимайте кнопку Submit. Посмотрите в тексте страницы id последнего коментария: <li class=”” id=”comment-7″>. Твой комментарий будет содержать следующее значение (в нашем случае 7+1=8). И посмотрите номер post id <div class=”post” id=”post-10″> (в нашем случае 10).

5. Теперь отредактируйте страницу вместе с iframe и установите iframe на:http://(blog directory)/wp-admin/post.php?action=mailapprovecomment&p=10&comment=8

6. Напишите первый комент и потом можно писать коменты с завлекательной ссылкой на ваш блог вместе со скрытыми iframeмами. Ты также можешь ссылку на свою страницу в первом коменте без добавления второго.

7. Прикрой свою задницу удалением iframe.

8. Сделал!? Теперь вступает в дело модератор! (9 и 10 шаги можешь пропустить они слишком эзотерические)

9. Модератор смотрит по своим логам из контрольной панели и начинает резать Твои комментарии.

10. Он смотрит Твои комментарии, как добавленные свои и подсознательно связывает их со своими и одобряет их. Или нет…:)

11. Хочешь добавлять комментарии без ведома модератора?

12. Смотри исходники формы комментария. Найди там action=””. Скопируй URL и посмотри comment_post_ID.

13. Помести этот код на страницу, которую запрашиваешь через iframe.

<HTML>
<BODY>
<form name=’f’ method=’post’ action=’http://www.mattcutts.com/blog/wp-comments-post.php’ style=”display:none;”><!– enter the url –>
<textarea name=”comment”>ХАХАХАХА</textarea><!– enter your message –>
<input name=”submit” type=”text” value=”Submit Comment” />
<input type=”hidden” name=”comment_post_ID” value=”215″ /><!– enter the right number –>
<input name=’s’ type=’submit’ value=’submit’ />
</form>
<script>
document.f.s.click();
</script>
</BODY>
</HTML>

Как видишь крякнуть очень легко. Вот и думай теперь что делать со своим блогом и как его защитить от взлома! Хотя почему то мне кажется у Тебя появились другие мысли.

ЗЫ: Что делать? Ответ будет в другом выпуске. )

http://seo-translate.blogspot.com/2006/12/wordpress.html