Wordpressin basit bir açığını buldum

09-10-2020, 13:46:37

mzc

Bildiğiniz gibi Wordpress tabanlı sitelere yorum yapıldığı zaman moderatör onayından sonra yorum onaylanıyor ama siz ilgili sitenin yönetici e postasını bilirseniz yorum yaparken o e posta ile yorum yapınca yorumunuz moderatör onayına takılmadan direkt yayınlanıyor ve yayıncı gravatarı ile yayınlanıyor.

Yani birisi sizin sitenize yorum yapmış diyelim. Başka birisi de o yoruma sizin e postanız ve sizin isminiz ile cevap verdiği zaman (otomatik olarak sizin fotoğrafınız çıkıyor profilde) yorum direkt yayınlanıyor ve sanki o yorumu siz yazmışsınız gibi oluyor.

Bu backlink almak için reklam almak için falan çok rahat kullanılabilecek bir yöntem.

Şimdi diyeceksiniz ki adam yönetici e postasını nereden bilecek. Çok basit bir sosyal mühendislik çalışması ile öğrenebilir. Mail atar iletişim formundan reklam vermek için ve cevap verdiğinizde e posta adresiniz tak diye ortaya çıkar.

edit: bazı wordpress tabanlı sitelerde olmuyormuş. Benim sitemde oluyor neden kaynaklandığını tam çözemedim ama yorumuna onay verilen bir kullanıcının bir sonraki yorumunun onaya takılmaması ile bir bağlantısı olabilir. Yani daha önce yorumu onaylanan bir kulanıcı ip onaylı olduğu için sizin e postanız ile yorum yaptığında direkt yayınlanıyor olabilir.

09-10-2020, 13:52:58

#2

bostanci96

Web Tasarım ve Yazılım

mertzcn adlı üyeden alıntı: mesajı görüntüle

Bildiğiniz gibi Wordpress tabanlı sitelere yorum yapıldığı zaman moderatör onayından sonra yorum onaylanıyor ama siz ilgili sitenin yönetici e postasını bilirseniz yorum yaparken o e posta ile yorum yapınca yorumunuz moderatör onayına takılmadan direkt yayınlanıyor ve yayıncı gravatarı ile yayınlanıyor.

Yani birisi sizin sitenize yorum yapmış diyelim. Başka birisi de o yoruma sizin e postanız ve sizin isminiz ile cevap verdiği zaman (otomatik olarak sizin fotoğrafınız çıkıyor profilde) yorum direkt yayınlanıyor ve sanki o yorumu siz yazmışsınız gibi oluyor.

Bu backlink almak için reklam almak için falan çok rahat kullanılabilecek bir yöntem.

Şimdi diyeceksiniz ki adam yönetici e postasını nereden bilecek. Çok basit bir sosyal mühendislik çalışması ile öğrenebilir. Mail atar iletişim formundan reklam vermek için ve cevap verdiğinizde e posta adresiniz tak diye ortaya çıkar.

😂😂
Shiftdelete bile wordpress tabanlı..
Bu gerçek mi ya 😅

09-10-2020, 13:54:02

#3

mzc

bostanci96 adlı üyeden alıntı: mesajı görüntüle

😂😂
Shiftdelete bile wordpress tabanlı..
Bu gerçek mi ya 😅

hocam dün gece tam uyuyacakken geldi aklıma bu fikir ve üşenmeden kalkıp bilgisayarı açıp denedim ahaha oluyor maalesef.

09-10-2020, 13:56:26

#4

Ayzeta

Kontrol ediyorum test amaçlı site yönetim maili ve admin kullanıcısının mailiyle onaya düşüyor, son sürümde mi test ettiniz?

09-10-2020, 13:57:05

#5

makenzi

vay be.. hocam şaşırdım.. yani istediğin kadar spam yorum engelleyici kur adam maili bildikten sonra yorumu direk ekliyor ha !!!

09-10-2020, 13:58:34

#6

mzc

Ayzeta adlı üyeden alıntı: mesajı görüntüle

Kontrol ediyorum test amaçlı site yönetim maili ve admin kullanıcısının mailiyle onaya düşüyor, son sürümde mi test ettiniz?

evet son sürümde test ettim. Şu da olabilir bir kullanıcının yorumunu onaylarsanız bir dahaki sefere o kullanının yorumları onaya düşmüyor ondan da olma ihtimali var. O kullanıcı bunu bu şekilde kullanabilir

09-10-2020, 13:59:39

#7