WordPress 2.1 – 2.3.1 spameru nedrošs

WordPress piedāvā iespēju komentāros pievienot HTML kodu. Man šī iespēja īpaši nesajūsmināja, jo tuvāka šķita BBCode sintakse, kas ierobežo dažādas jēlības. Kā reizi izlasīju par vienu tādu. Izrādās, ka visās pēdējās WordPress versijās no 2.1 līdz pat 2.3.1 ir iespējams pievienot komentāru, kas vizuāli nebūs redzams.

The current version of WordPress (also 2.1-2.3.1 verified so far) is apparently vulnerable to an HTML-tainting attack.

Kods izskatās aptuveni šādi.

Izmantojot CSS absolūto pozicionēšanu, tiek paslēpts komentāra saturs.

<div id=”mnu1″ style=”overflow: auto; position: absolute; z-index: 1; left: -500px; text-indent: -500px; width: 600px; text-align:left”>
Where <a href=”http://www.adrese.nav/”>download mp3 music</a>? It’s obvious.<br /> Fast downloads and super high quality… <br />Try to guess, what’s the best site to <a href=”http://www.adrese.nav/”>download movies</a>? Yes, that’s right.<br /> I recently downloaded few films with super high quality.
</div>

Galvenais, ka meklētāji arī šo joku pagaidām neņem, jo tajā nav izmantots maģiskais display:none. Tagad es domāju, ko darīt. Likt virsū BBCode spraudni vai nē.

SEO Egghead piedāvā primitīvu spraudni HTMLTaintCheck, kas meklēs iespējamos spamera komentārus.

Tweet about this on TwitterShare on FacebookShare on VKShare on RedditShare on Google+Share on LinkedInEmail this to someone

8 komentāri par “WordPress 2.1 – 2.3.1 spameru nedrošs

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta.