Привет, читатели Партнёркина! Это гостевой пост от вебмастера Максима Истляева.
Для вывода тизеров на сайтах используют в том числе скрипт Tizer Division — платный ротатор тизеров. Удобная штука: купил, установил, настроил — и всё работает. Но есть в ней один нюанс, благодаря которому можно получить доступ к чужим тизерам. Обязательно к прочтению тем, кто пользуется этим скриптам.
Надежные акк для FB* и Google у нас в разделе Аккаунты.
Настройка TD
Тизер Дивижен для корректной работы требует установки на отдельном домене. Зайдя на этот домен после установки, мы увидим форму авторизации для входа в админку. И здесь есть два важных нюанса, которые и сподвигли меня к данной статье:
— Стандартный доступ к админке выглядит как admin / admin,
— У страницы входа фиксированный тайтл.
Наверняка вы уже догадались, что нужно делать дальше)
Поиск сайтов со скриптом
Заголовок страницы с формой авторизации: «Вход — Tizer Divizion». Страница имеет относительный путь /user/login. Этих данных достаточно, чтобы с помощью поисковиков найти такие сайты.
Вбиваем в яндекс запрос «Вход — Tizer Divizion». Видим в выдаче нужные нам страницы. Пока только сохраняем их адреса в отдельный файл — я использовал электронную таблицу.
Из-за склейки яндекса по одинаковым тайтлам в выдаче можно увидеть лишь порядка 30 таких сайтов. Но есть ещё гугл — и список найденных доменов пополняется новыми.
Ищите высокооплачиваемую работу в Сети? Тогда вам в наш раздел Вакансии.
Поиск по специальным сервисам
Чтобы обойти ограничения поисковиков, можно использовать данные онлайн-сервисов, собирающих информацию по доменам. На примере domenolog.ru и поиска в яндексе: вводим в яндексе запрос «вход - tizer divizion site:domenolog.ru» и получаем многостраничный список искомых доменов.
Можно воспользоваться любым другим подобным сервисом по доменам, это не принципиально.
В итоге таблица с доменами разрастается новыми данными.
Проверка стандартного доступа
Как я писал выше, по умолчанию доступ к админке скрипта осуществляется по логину admin с таким же паролем. Имея список доменов, можно вручную или по скрипту пробежаться по всем ним и попробовать залогиниться.
Самые высокие ставки по RU, BY, KZ от прямого рекламодателя FONBET PARTNERS!
К заливам!
Я проверил только первые 200 сайтов. Статистика следующая: на каждую сотню доменов семь из них пускают в админку по дефолтным данным. Получается, конверсия 7%.
Поиск трафика
Большая часть из установленных скриптов, в которые удалось получить доступ, имели запущенную статистику — десятки, максимум сотни просмотров на 5-20 тизеров. Но были и исключения. Я нашёл несколько ТД с порнотизерами и количеством просмотров в виде шестизначных чисел. Опять же, это лишь вопрос конверсии.
Использование уязвимости
Как можно использовать эту уязвимость? Самый очевидный вариант: заменить потоки у тизеров на свои, пока владелец это не заметит.
Я не стал этим заниматься, так как такие серые темы мне не по душе. Вместо этого решил опубликовать статью с обзором своей находки на посещаемом тематическом ресурсе, чтобы об этом узнало как можно больше арбитражников одновременно — и чтобы они смогли принять меры.
Ок, а что же делать владельцам скрипта тизер дивижен?
Защита от проблемы
Во-первых, ни в коем случае нельзя оставлять стандартные доступы admin / admin. Вместо них нужно задать любые другие. Для этого логинимся в скрипт, сверху справа кликаем на юзернейм, в выпадающем меню выбираем «Профиль». В открывшейся форме указываем кастомный логин и дважды вводим новый пароль.
Во-вторых, закрываем от индексации домен, на котором установлен скрипт. Проще всего это сделать с помощью robots.txt — просто пишем там запрет на индексацию:
User-agent: *
Disallow: /
В-третьих, изменим стандартный текст, чтобы даже после индексации наш домен не смогли найти. Сразу удаляем файл README.md из корня сайта, так как содержит дефолтную инструкцию скрипта.
Далее нужно отредактировать заголовок страницы авторизации. Благо, тизер дивижен имеет открытый код и позволяет это сделать.
В файле application/controllers/user.php находим строчку:
$this->template->set_title('Вход');
заменяем на любую другую надпись, можно вообще оставить пустой:
$this->template->set_title('');
В файле application/libraries/Template.php находим строчку:
protected $brand_name = 'Tizer Divizion';
И заменяем её, например, на ваш домен. Или опять же, оставляем пустой:
protected $brand_name = 'Example';
Готово, теперь по тайтлу найти ваш сайт будет невозможно. На всякий случай можно поменять ещё и текст «Вход на сайт». Для этого в файле application/views/template/login_page.php находим строчку:
<h1 class="text-center login-title">Вход на сайт</h1>
И меняем в ней текст. Например:
<p>Зайти:</p>
Готово!
Интересуют разные способы заработка в Сети? Смотрите тематические конференции. Список актуальных событий у нас в разделе Конфы.
Моральная сторона вопроса
Мысль об описанном способе доступа к чужим скриптам ТД пришла ко мне во время пользования собственным. Я проверил выдачу и понял, что это работает. Из соображений этики я не стал заходить дальше пробования стандартной пары admin / admin и скриншотов для статьи — да, на этом я мог бы какое-то время заработать, но такой доход мне не интересен.
При этом не было возможности связаться с каждым из вебмастеров, описав ему ситуацию и предложив решение. Поэтому я решил написать подробную статью с описанием проблемы и инструкцией по профилактике, чтобы затем разместить её на популярном среди пользователей ТД ресурсе — поэтому благодарю администрацию Партнёркина за публикацию.
Подписывайтесь на мой паблик в вк — там я пишу про информационные сайты и интернет-маркетинг.
Наверняка вы уже догадались, что нужно делать дальше)
Можно воспользоваться любым другим подобным сервисом по доменам, это не принципиально.
