WordPress 2.1 – 2.3.1 spameru nedrošs

WordPress piedāvā iespēju komentāros pievienot HTML kodu. Man šī iespēja īpaši nesajūsmināja, jo tuvāka šķita BBCode sintakse, kas ierobežo dažādas jēlības. Kā reizi izlasīju par vienu tādu. Izrādās, ka visās pēdējās WordPress versijās no 2.1 līdz pat 2.3.1 ir iespējams pievienot komentāru, kas vizuāli nebūs redzams.

The current version of WordPress (also 2.1-2.3.1 verified so far) is apparently vulnerable to an HTML-tainting attack.

Kods izskatās aptuveni šādi.

Izmantojot CSS absolūto pozicionēšanu, tiek paslēpts komentāra saturs.

<div id=”mnu1″ style=”overflow: auto; position: absolute; z-index: 1; left: -500px; text-indent: -500px; width: 600px; text-align:left”>
Where <a href=”http://www.adrese.nav/”>download mp3 music</a>? It’s obvious.<br /> Fast downloads and super high quality… <br />Try to guess, what’s the best site to <a href=”http://www.adrese.nav/”>download movies</a>? Yes, that’s right.<br /> I recently downloaded few films with super high quality.
</div>

Galvenais, ka meklētāji arī šo joku pagaidām neņem, jo tajā nav izmantots maģiskais display:none. Tagad es domāju, ko darīt. Likt virsū BBCode spraudni vai nē.

SEO Egghead piedāvā primitīvu spraudni HTMLTaintCheck, kas meklēs iespējamos spamera komentārus.

8 thoughts on “WordPress 2.1 – 2.3.1 spameru nedrošs

  1. Klaids

    Liec vien labāk to spraudni, bet savādāk ieteiktu lietot kādus mazāk izplatītus “dziņus”, piemēram, Pivot! Ar spamu nekad nav bijušas problēmas, kā reiz top jauna, lietotājam draudzīga versija: http://www.pivotlog.net/temp/

    Atbildēt

Atbildēt uz komentāru 4e4en Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *