Как стать другом 4pda

Как стать другом 4pda

Веб-адрес: 4pda.ru Основной язык: русский Дата основания: 13 апреля 2005

4PDA — российский сайт о мобильной электронике, один из наиболее посещаемых сайтов в данной тематике. Особенно известен форум 4PDA, крупнейший и наиболее известный в данной теме русскоязычный форум. Название 4PDA читается как «for PDA», сокращённо от personal digital assistant — карманный портативный компьютер, коммуникатор [1] .

Основатель сайта — Евгений Вецель (участник Imater). По его словам, он решил основать свой форум после бана на Pocketz — самом популярном форуме о КПК того времени. Впоследствии из-за нехватки времени он передал сайт в управление Табу. Imater числится админом, но из-за забытого пароля, который из-за технического сбоя не удалось восстановить, не имеет доступа к аккаунту и не принимает участие в жизни сайта, однако и не стремится к этому [2] .

Содержание

[править] История

Сайт был открыт 13 апреля 2005 года, как форум о коммуникаторах (PocketPC) на базе Windows Mobile. Первоначально находился на домене 4pocket.ru, куда, судя по всему, переехал с временного адреса autolite.ru/pda [3] . Уже в июне того же года сайт был перемещён на адрес 4pda.ru, однако прозвище «Карманы» успело прикрепиться и иногда употребляется и в наши дни [1] .

Не позднее июля 2005 на 4PDA появился раздел с новостями, которые можно было комментировать. В сентябре 2008 года главная страница сайта подверглась редизайну и переехала на движок WordPress, при этом были утрачены почти все новости, вышедшие до редизайна [1] . Самая первая новость, которую можно просмотреть сегодня, датирована 2 сентября 2008 года [4] .

В 2012 году на сайте произошёл инцидент, связанный с поздравлением от администрации на 9 мая. Поздравление получило около 20 минусов, в связи с чем 12 мая администратор tab опубликовал статью с заголовком «Видишь барана? А мы видим. », в которой обвинил минусовавших пользователей в неуважении к ветеранам и празднику. В комментариях действия администратора были подвергнуты критике, что привело к массовым банам недовольных. Через несколько дней публикация была удалена. В том же месяце система одобрения новостей и комментариев была реформирована — минусовать новости и комментарии стало невозможно, только плюсовать, вместо этого их стало можно сворачивать, чтобы не видеть; была обнулена карма всех учётных записей и введён новый алгоритм её расчёта. Нововведение было воспринято комментаторами неоднозначно, несколько недовольных были забанены [5] .

Читайте также:  Заметки вконтакте куда делись

1 апреля 2014 года сайт подвергся масштабному редизайну, в ходе которого мобильная и стационарная версии были заменены на адаптивный дизайн, и переехал на новый движок собственной разработки [1] , поскольку WordPress якобы не справлялся с большой нагрузкой (последнее нововведение не было анонсировано и прошло незамеченным для пользователей) [2] . Также были реформированы профили пользователей — старый профиль c типичным для IPB внешним видом и функциональностью был заменён на самодельный, выполненный в едином стиле с главной страницей, а не с форумом. При этом была утрачена большая часть функциональности. Такой первоапрельский подарок был резко негативно принят сообществом [6] . В качестве утешения была запущена тема «О себе», где каждый форумчанин мог, используя форумный пост и его возможности, создать свой альтернативный профиль и проставить на него ссылку из официального профиля или подписи [7] .


В этом посте будет много текста о том как одной ночью был найден активный XSS на форуме всем известного проекта 4pda. Для КулХацКероВ специалистов, баг уже прикрыли!

(Сразу прошу прощения за ошибки, за помощь в улучшении качества поста буду благодарен!)
Лирическое отступление:
Всё началось с того, что мы с другом решили пойти съесть пиццы в местной пиццерии. Прихватили с собой ноутбук, и решили поискать баги в каком-то известном проекте. Жертвой стал 4pda. Через 30 минут поедания пиццы поиска он был найден.

Баг был найден в профиле пользователя, а конкретно — SELECT «Устройство». Проанализировав, что код исполняется на всех страницах форумах где пользователь оставил своё сообщение мы решили не спешить с письмом в тех. поддержку, а посмотреть, что из этого выйдет.
(Мы не очень хорошо знаем javascript, по этому, возможно, всё можно было сделать довольно проще)
Мы столкнулись с 2-мя проблемами:
1) Скрипт более 30 символов не пропускала система.
2) document.cookie возвращал ересь что-то, что не являлось нужными нам куками.
Решение:
1) Подключали скрипт с удалённого сервера
2) Мы решили показывать всем пользователям фейковую страницу поверх основной(z-index) с сообщением о том, что срок действия сессии истек, надо перелогиниться. При этом, эта страница не показывалась дважды одному и тому же пользователю. После логина делался display:none.

Читайте также:  Как очистить чат в ватсапе у собеседника

Просидев еще 2 часа в кафе осуществляя наш план, мы поняли, что здесь нам уже не сильно рады и отправились домой…

Когда скрипт был полностью готов, был зарегистрирован новый пользователь и им наспамленно по всему форуму 30 сообщений. После этого мы подключили нужный скрипт и начали ждать.

Буквально через 20 секунд в базе данных уже было 5 пользователей. Через 10 минут база насчитывала сотни пользователей.
После этого был сделан скрипт для фильтрации админы/модераторы/пользователи.
В базе 20% «Друзей 4pda»; 20% «Модераторы»; 5% «Админы»; 55% «Пользователи»
После этого мы сделали экспорт бд и написали в тех.поддержку подробное описание уязвимости с прилагающимся файлом бд. Баг прикрыли в течении 1 часа.

Вывод: даже у больших и старых проектов есть «детские» уязвимости и почти 80% из них именно в SELECT-ах.

Мой второй логин fixinchik забанили на 4PDA. Гм, хотел начать новую жизнь, администрацию не критиковал, тупо общался по теме Android. Но нет же, припаяли мультилинк. То есть подразумевается, что единожды забаненный гражданин не может вернуться на 4PDA ни под каким ником. Завел себе ник, не связанный с fixin, постараюсь сделать так, чтобы по моим вопросам меня не вычислили.

Идиоты! Хорошо хоть успел выложить свою разработку по рассылке СМС, а так бы бомонд и этого лишился бы, гыгыгы.

Ну да не суть, я давно уже заметил, что модераторы 4PAD — конченые дебилы. Еще с тех самых пор, как именно их сайт приводил в качестве примера зла длинных веток. Обидно, что в Рунете большинство тем монополизируются ублюдками и нормальным людям некуда податься (mista, pda, форум винского и т.п.).

Ссылка на основную публикацию
Как соединить ноутбук с ноутбуком
Блог о модемах, роутерах и gpon ont терминалах. Чем прекрасен ноутбук, так это своей мобильностью. Эта черта в первую очередь...
Как сделать чтобы контакт не запоминал пароль
Если вас интересует, как в ВК удалить сохраненный пароль, значит вы попали к нам на страничку очень кстати. Мы как...
Как сделать чтобы металлоискатель не обнаружил телефон
Использование арочных и ручных металлоискателей – это один из самых распространенных способов досмотра в любом общественном месте, начиная от обычного...
Как соединить обрезанные песни в одну
Соединяйте любимую музыку в один трек Быстрое объединение песен С помощью этого инструмента можно добавить несколько файлов одновременно, поэтому вам...
Adblock detector