Как забирать себе чужие дропы На днях общался с коллегой...
86
Как забирать себе чужие дропы
На днях общался с коллегой, Филиппом и он рассказал об одной популярной уязвимости из-за лени. Многие владельцы дропов, использующие CMS Arhivarix забывают удалить файлик с админкой или поставить на нее пароль. Из-за этого на них можно развернуть свой контент или проставить нужные ссылки.
Вот информация от него:
Есть такая CMS для дропов, называется Arhivarix. Работа с ней простая: заливаешь файлик с админкой, даёшь айдишник или архив, разворачиваешь дроп, правишь его, удаляешь файлик с админкой или ставишь пароль. Так вот, многие спецы ЗАБЫВАЮТ сделать последнее действие.
Дальше гугл нам в помощь и мы видим огромную тучу разных дропов в разном состоянии. Также можно спалить сетку дропов конкурента и прочекать на наличие архиварикса.
Примеры:
1. Полный доступ к админке с возможностью редактировать любые страницы дропа
(https://yadi.sk/d/POomLaUiac6vWw)
2. Тут установлен архиварикс, но не развёрнут сайт, но (!) мы можем спокойно взять хоть копию любого другого дропа из архива, вбить в админку код... и вуаля... дроп развёрнут, как говорится, спасибо владельцу за бесплатный домен и хостинг.
(https://yadi.sk/d/9avHE3RAGfjKXA)
3. Ну тут вообще владелец лентяй, загрузил архив с дропом, загрузил архиварикс но не установил... что-ж, мы не лентяи, мы это сделаем за него, только пароль свой установим и ссылки разместим какие нужно нам.
(https://yadi.sk/d/lpgfMWI79tH5Bg)
Если вы думаете, что это один лентяй, то ошибаетесь! таких много! (https://yadi.sk/d/Rnz8eWUZahkaVQ)
4. Некоторые попадаются "поумнее", закрывают архиварикс в robots.txt... и не догадываются, что поисковые системы сам файл robots.txt тоже индексируют…
(https://yadi.sk/d/QnL4NmMWuoTjAg)
Выводы: 1. Никогда не забывайте о безопасности, 2. Если срочно понадобилась сетка сайтов (например, чтобы скормить поисковой системе ссылки), а бюджет не выделили - вы знаете, что делать)))
Источник новости https://t.me/bez_seo/324...