29 января 2018 2 4049

Tizer Divizion — как не потерять доступ к своим тизерам

Привет, читатели Партнёркина! Это гостевой пост от вебмастера Максима Истляева.

Для вывода тизеров на сайтах используют в том числе скрипт Tizer Division — платный ротатор тизеров. Удобная штука: купил, установил, настроил — и всё работает. Но есть в ней один нюанс, благодаря которому можно получить доступ к чужим тизерам. Обязательно к прочтению тем, кто пользуется этим скриптам.

Настройка TD
Тизер Дивижен для корректной работы требует установки на отдельном домене. Зайдя на этот домен после установки, мы увидим форму авторизации для входа в админку. И здесь есть два важных нюанса, которые и сподвигли меня к данной статье:
— Стандартный доступ к админке выглядит как admin / admin,
— У страницы входа фиксированный тайтл.
Наверняка вы уже догадались, что нужно делать дальше)

Поиск сайтов со скриптом
Заголовок страницы с формой авторизации: «Вход — Tizer Divizion». Страница имеет относительный путь /user/login. Этих данных достаточно, чтобы с помощью поисковиков найти такие сайты.

Вбиваем в яндекс запрос «Вход — Tizer Divizion». Видим в выдаче нужные нам страницы. Пока только сохраняем их адреса в отдельный файл — я использовал электронную таблицу.

Из-за склейки яндекса по одинаковым тайтлам в выдаче можно увидеть лишь порядка 30 таких сайтов. Но есть ещё гугл — и список найденных доменов пополняется новыми.

Поиск по специальным сервисам
Чтобы обойти ограничения поисковиков, можно использовать данные онлайн-сервисов, собирающих информацию по доменам. На примере domenolog.ru и поиска в яндексе: вводим в яндексе запрос «вход - tizer divizion site:domenolog.ru» и получаем многостраничный список искомых доменов.
Можно воспользоваться любым другим подобным сервисом по доменам, это не принципиально.

В итоге таблица с доменами разрастается новыми данными.
Проверка стандартного доступа
Как я писал выше, по умолчанию доступ к админке скрипта осуществляется по логину admin с таким же паролем. Имея список доменов, можно вручную или по скрипту пробежаться по всем ним и попробовать залогиниться.

Я проверил только первые 200 сайтов. Статистика следующая: на каждую сотню доменов семь из них пускают в админку по дефолтным данным. Получается, конверсия 7%.

Инфопродукты как профитный тренд 2021 — доклад Марины Черновой на MAC 2021

Поиск трафика

Большая часть из установленных скриптов, в которые удалось получить доступ, имели запущенную статистику — десятки, максимум сотни просмотров на 5-20 тизеров. Но были и исключения. Я нашёл несколько ТД с порнотизерами и количеством просмотров в виде шестизначных чисел. Опять же, это лишь вопрос конверсии.

Использование уязвимости
Как можно использовать эту уязвимость? Самый очевидный вариант: заменить потоки у тизеров на свои, пока владелец это не заметит.

Я не стал этим заниматься, так как такие серые темы мне не по душе. Вместо этого решил опубликовать статью с обзором своей находки на посещаемом тематическом ресурсе, чтобы об этом узнало как можно больше арбитражников одновременно — и чтобы они смогли принять меры.

Ок, а что же делать владельцам скрипта тизер дивижен?

Защита от проблемы
Во-первых, ни в коем случае нельзя оставлять стандартные доступы admin / admin. Вместо них нужно задать любые другие. Для этого логинимся в скрипт, сверху справа кликаем на юзернейм, в выпадающем меню выбираем «Профиль». В открывшейся форме указываем кастомный логин и дважды вводим новый пароль.

Сколько зарабатывают на зеркалах нелегальных букмекеров. Спойлер: много

Во-вторых, закрываем от индексации домен, на котором установлен скрипт. Проще всего это сделать с помощью robots.txt — просто пишем там запрет на индексацию:

User-agent: *
Disallow: /

В-третьих, изменим стандартный текст, чтобы даже после индексации наш домен не смогли найти. Сразу удаляем файл README.md из корня сайта, так как содержит дефолтную инструкцию скрипта.

Далее нужно отредактировать заголовок страницы авторизации. Благо, тизер дивижен имеет открытый код и позволяет это сделать.

В файле application/controllers/user.php находим строчку:
$this->template->set_title('Вход');
заменяем на любую другую надпись, можно вообще оставить пустой:
$this->template->set_title('');

В файле application/libraries/Template.php находим строчку:
    protected $brand_name = 'Tizer Divizion';
И заменяем её, например, на ваш домен. Или опять же, оставляем пустой:
    protected $brand_name = 'Example';

Готово, теперь по тайтлу найти ваш сайт будет невозможно. На всякий случай можно поменять ещё и текст «Вход на сайт». Для этого в файле application/views/template/login_page.php находим строчку:
            <h1 class="text-center login-title">Вход на сайт</h1>
И меняем в ней текст. Например:
            <p>Зайти:</p>

Готово!

Моральная сторона вопроса
Мысль об описанном способе доступа к чужим скриптам ТД пришла ко мне во время пользования собственным. Я проверил выдачу и понял, что это работает. Из соображений этики я не стал заходить дальше пробования стандартной пары admin / admin и скриншотов для статьи — да, на этом я мог бы какое-то время заработать, но такой доход мне не интересен.

577 740 рублей в месяц за работу на берегу моря, бонус €5 000 за переезд на Кипр и возможность стать крутым барабанщиком — лучшие вакансии октября 2021 года

При этом не было возможности связаться с каждым из вебмастеров, описав ему ситуацию и предложив решение. Поэтому я решил написать подробную статью с описанием проблемы и инструкцией по профилактике, чтобы затем разместить её на популярном среди пользователей ТД ресурсе — поэтому благодарю администрацию Партнёркина за публикацию.

Подписывайтесь на мой паблик в вк — там я пишу про информационные сайты и интернет-маркетинг.

Как вам статья
ПОЛУЧИТЬ АКТУАЛЬНУЮ ПОДБОРКУ КЕЙСОВ

Прямо сейчас бесплатно отправим подборку обучающих кейсов с прибылью от 14 730 до 536 900 ₽.

Безымянный Ответить
спасибо, полезно
29 января 2018, 12:33 0
спасибо = )
31 января 2018, 11:31 0