суббота, 18 апреля 2009 г.

Вся правда о XSS

Что такое XSS?Это обычная дырка в коде сайта, когда программист забывает преобразовывать тэги на их код при заполнение каких либо форм или передаче какого либо параметра.

Как найти XSS на сайте и какие бывают XSS?

  1. Также можно понаблюдать на переходы по ссылкам, например, вы перешли на ссылку с названием категории и на странице этой ссылки присутствует название этой категории один в один как в ссылке. Есть возможность, что название категории береться прямо из ссылки (раньше этой заразой страдали все магазины stimulcash, но убрали, после моего тонкгого намека :), но так и остались на аптеках rx-partners). Чтоб проверить это наверняка, нужно заменить название категории, товара и т.д. на html-код. Пример “buy viagra“.

  2. Часто XSS уязвимость имеют сайты, у которых создание страниц динамическое. Нужно просто вместо названия странички подставить html код.

  3. XSS уяхвимость имеют некоторые версии phpinfo(), например 4.2. Чтоб проверит, добавте к адрессу строчку ?f[]=%3Ca%20href%3D//www.yoursite.com%3EAnchor%3C/a%3E. Пример “buy viagra“. Искать такие ссылки очень просто, достаточно в google ввести phpinfo() “PHP Version 4.2?.

Как можно использовать XSS уязвимость?

Для нарашивания внешних ссылок вставляя код со своей ссылкой (так как я это делал на протяжении всей статьи) или создания дорвеев, ведь можно легко выполнить редирект вставив фрейм с кодом<script>
window.parent.location.href='http://www.starik.name/goto/www.site.com';
</script>
Пример “редирект“.Есть какие либо особенности при вставке html кода в XSS уязвимый сайт?


Из того, что известно мне - нужно заменять http:// в коде на // , а так же стараться не использовать”, ‘.

Ссылки с XSS нужно размещать на саттелитах, желательно не больше 20 на странице. Забмитить их в социалки и букмарки, а сами странички социалок и букмарков немного проспамливать.

Бонус:

XSS уязвимость имеют все фиды klikvip, которые очень просто искать через GOOGLE. Пример “buy viagra“.

Источник: http://www.starik.name/vsya-pravda-o-xss/

вторник, 7 апреля 2009 г.

Как поднять ТИЦ сайта без ежемесячных платежей. Часть 5

Распространение бесплатных скриптов
Покупаете или достаёте бесплатно скрипты ( движок ) сайта который пользуется спросом.
Вот Вам на конкретном примере скрипт партнёрской программы от b2m.ru

Под эту партнёрскую программу был написан достойный скрипт mobilka ( разных версий 1,2,3 )

На примере последней версии mobilka 3 - Вы его купили или скачали и т д.

Далее редактируем файл faq.php и вбиваем туда всю необходимую информацию.
Этот файл содержит огромное количество информации - телефоны, как пользоваться сервисами и т д.

Вам ещё не совсем понятно, объясняю далее детально:

Вот на примере сам сайт с установленным движком mobilka 3
http://searchmusiconline.com
Смотрим на колонку справа, там есть меню ( Как пользоваться? ) и ведёт на
http://searchmusiconline.com/faq.php
Переходим туда, далее прокручиваем почти в самый низ до выделенной строчки ( Где еще можно скачать мобильный контент? )
И что же мы видим ? Видим как вебмастер Грандказино удачно разместил в этом месте ссылки на свои сайты содержащие необходимые ключевые слова для продвижения своих сайтов и естественно поднятия Тиц и Pr. Собственно думаю теперь стало более понятно. Вернёмся к маркетингу:
Не обязательно использовать именно этот скрипт можно и другой популярный.
Этот скрипт популярен тем что многие зарабатывают на этой партнёрке и партнёр надёжный потому что платит. Берёте скрипт, вносите свои ссылки с ключевиками в анкорах, далее с этим уже готовым к распространению скриптом идёте на warez порталы и другие сайты и форумы и предлагаете этот скрипт в бесплатную скачку. Желающих найдётся довольно много с учётом того что скрипт этот в магазинах продают по 5-8$ к тому же это может быть другой скрипт который стоит гораздо больше и является ещё более популярным у вебмастеров. А после того как выложите скрипт и его начнут качать юзеры, потом с этого сайта его скопируют другие warez порталы для добавления новой новости на свой сайт, кто то с скачавших продаст этот скрипт или даст кому нибудь и т д. А что будет дальше собственно видно на приведённом примере.
Вебмастер ставит скрипт на хостинг и продвигает свой сайт, после индексации этого сайта на Ваши сайты бесплатные обратки с нужными анкорами. 2 зайца одним выстрелом:
1 - Продвигаете сайт по нужным запросам
2 - Поднимаете Тиц и Pr
Причём бесплатно. Те же ссылки Вы покупаете на вторяках в sape и подобных.
И последнее для чего в скрипте mobilka 3 вносить свои ссылки именно в файл faq.php
Ответ: Это как раз то место куда собственно вебмастер и не заходит чтобы вырезать лишнее.
Проверить что это работает можно лнгко - походив по подобным сайтам а их не мало.
Таким способом можно продвигать не один а целые сетки сайтов. Надеюсь информация будет полезной.

--------------------------------------

Источник http://forum.searchengines.ru/showthread.php?p=3591937

Как поднять ТИЦ сайта без ежемесячных платежей. Часть 4

Тематические новости
Есть на одном сайте у меня тематические новости (спорт), новости собраны из многих (можно сказать всех) источников спортивной информации в рунете. Обновляются ежечасно. Красивый, ненапрягающий дизайн, удобная структура, мизер рекламы. У каждой новости естественно стоит первоисточник без ноиндекса и нофолоу. Ссылка стоит в самом видном месте - специально, чтобы посетитель видел первоисточник.

Посетителям очень нравится этот сервис и естественные ссылки очень часто ставят. Я ничего не делалдля увеличения тиц, он сам вырос до 40 за ап (до этого пр тоже до 2)

Партнёрская программа
Я например сделал подобную у себя на сайте и тИЦ по сравнению с остальными продвигаемыми сайтами ЗНАЧИТЕЛЬНО больше. Не скажу как значительно, но скажу лишь, что бэки идут восновном с главных страниц.
Так что если у вас на сайте есть какая то услуга за деньги, то обязательно создайте партнёрку с ссылочкой вида http://site.ru/?p=123456 Taker

отличный способ, про него я как-то не вспомнил. Отлично работает на соответствующих сайтах.

Один букмекерский сервис у меня таким образом получил +300тиц и +3пр за несколько апов совершенно бесплатно и без каких-либо действий, убиваются 2 зайца: и + продажам и + сайту.

В интернете масса бесплатных скриптов, способных организовать реферальную систему на сайте. Сухарев

Создание и ведение рассылки
Только ссылка будет нетематическая. Опять же там необязательно рассылку делать, можно просто пресс-релиз разместить Yana

Продвижение на сервисах вопросов-ответов
Публикация ссылок на свой сайт в сервисах вопросы-ответы. VladimirZH

События
Организация виртуальных и реальных флэш-мобов
Организация и проведение онлайн конкурсов, опросов, голосований

Специализированные портальные сервисы
не забывайте про специализированные службы... "Новости" "Маркет" "Карты" "Словари" "Блоги" "Картинки" killraty

Кросспостинг записей блога в дневники на блогсервисах
для некоторых своих сайтов завёл по блогу на:
.blogseo.ru
.livejournal.com
.wordpress.com
.liveinternet.ru/users/....
......
+ кросспосты в другие сервисы.......
......
накидываю туда статьи по теме, новости с др. сайтов.......
плюс в том, что эти блоги хорошо индексируются.... статьи махом появляются в индексе...... трекбеки расходятся на ура.... постоянно блоги посещают люди по интересам и т.д....... killraty

Социальные сети
Создание групп в социальных сетях и активное приглашение в них представителей ЦА
Поощрение участников социальных сетей на установку в профиле ссылки на сайт (блог)
Привлечение знаменитости (в качестве ведущего блога, участника сообщества и т.д.)
Создание линз (компасов) на проектах типа SQUIDOO и отечественного МойКомпас
Индивидуальная работа с лидерами сообществ
Постинг сайта в социальные закладки

Работа с разными видами контента
Продвижение фотоконтента в сетях, типа Flickr
Продвижение видеоконтента в сетях, типа YouTube
Продвижение аудиоконтента
Написание и распространение отзывов и рецензий о рекламируемом товаре/услуге/бренде/сайте.
Размещение ссылок в статьях Wikipedia
Размещение на сайте (блоге) уникального бесплатного контента (например, плагина или электронной книги)

Сателлиты
Возможно уже и было такое сообщение, я честно говоря не стал читать все.
Но для себя я нашел способ поднять ТИЦ до 200 (сайт строительной тематики) только "сателитами"
Ссылка с каждого дает примерно 20 ТИЦ. Всего их у меня 6.

Возраст сайта с ТИЦ 200, будет 1 год 8 августа. До сателитов "додумался" примерно через 4-5 месяцев после его запуска. Но реакция идет примерно 1 месяц. То есть как запустился сателит, то через месяц примерно поднимается ТИЦ.
Ссылки с "морды" и 4-5 внутренние, с хорошим анкором. egonika8m

------------------------------------------

Источник http://forum.searchengines.ru/showthread.php?t=277139

Как поднять ТИЦ сайта без ежемесячных платежей. Часть 3

Вирусный маркетинг
Постите на своем сайте что-то ржачное... (не баян), запускаете ссылку в асю и получаете трафик (хоть и не целевой) и кучу ссылок с блогов, форумов, LJ...

Несколько раз запускал "вирусы", причем старался делать это на 1 апреля. Если "выстреливают", то выхлоп получается неплохой.

Пример: для сайта по ноутбукам подготовили текст и несколько фотографий якобы "свежего концепта" от известного производителя. Реально же это была старая модель, просто грамотно "загримированная". Текст перевели на английский и отправили на ряд западных техноблогов. В результате получили бэки с Engadget, Newslaunches, Autoblog и еще пяти десятков западных блогов попроще, а также нескольких крупных профильных русскоязычных сайтов.

Сайт до проведения акции был нулевым. Спустя месяц - тиЦ 40 и PR 4 (как раз подошел ап). Ferret

RSS-ленты
Создайте ленту на основе новостей вашего сайта, прогоните по rss-каталогам.

Регистрация на job-сайте
Еще один способ - регистрация сайта как компании на сайтах о работе.
Некоторые сайты о работе позволяют создать либо страницу компании, либо дают поставить ссылку на сайт.

Ping и трекбэки блогов
можно добавить ping и трэкбеки блогов
- трекбэки хороши тем, что они повышают количество ссылок на ваш блог и его поисковой рейтинг(не все правда зависит от хозяина блога) . Если коротко - пишем на своем блоге заметку по тебе статьи "Чужого- блога" и ставим ссылку на статью "Ч-Б". В результате програмных действий на странице статьи Ч-Б в коментариях публикуется наша заметка со ссылкой на наш блог
Можно посмотреть (Wordpress) как работает при ссылках на с одной страницы на другую страницу своего блога(внутренняя перелинковка+трекбэк)

- xmlrpc ping нужен для извещения блог каталогов и сервисов о появлении новой статьи на вашем блоге( RSS файл необходим)
По личным наблюдениям - PR англоязычного блога(внутренний каталог сайта) подрос достаточно быстро и вровень с мордой сайта. Правда при этом надо лист Англоязычных пинг серверов собрать ( сто записей ). Русских немного где то около 20.
Но самый вкусный конечно вот этот ping.blogs.yandex.ru/RPC2
Через несколько минут-часов после пинга, информация о ваших последних постах появляется результатах поиска - и день или чуть более чтобы эта информация попала в общий поиск .

Уникальный контент
вообще лучший метод прироста ТИЦ - умные уникальные статьи и обязательно разнос ссылок на них по форумам и блогам! Разнос ссылок нужен чтобы искалкам было проще установить первоисточник и не выкинуть в дубли с ворами контента. Также это нужно для траффа и для того, чтобы на эти статьи начали ставить естественные ссылки другие люди.

Комментарии в блогах
А почему комментарии в блогах забыли? Топ автономных блогов на личном примере знаю, что тИЦ 10 дают около 10-15 блогов, но в блогах есть и еще один + на некоторых есть топ комментаторов, и туда не так уж и сложно попасти, зато будут ссылки на ваш сайт с главных страниц и довольно неплохих, да и в блогах регистрироваться не надо.

Зеркала
Почему-то пропустили зеркала. ТИЦ передается основному домену не только с поддоменов, но и зеркал. Главное в htaccess не забыть указать основной домен.
Из минусов этого метода можно отметить, что если у этих сайтов есть общие бэки, то ТИЦ сложится не полностью...


------------------------------------------

Источник http://forum.searchengines.ru/showthread.php?t=277139

Как поднять ТИЦ сайта без ежемесячных платежей. Часть2

Доски обьявлений
Размещение обьявлений в досках обьявлений. Часть досок размещают обьявления на фиксированный срок (к примеру на 2 недели). Поэтому обьявления придется периодически переразмещать вручную или с помощью спец. программ.
Точный прирост ТИЦ: от 10-20

Обмен ссылками
Обмен ссылками (прямой и перекрестный). Можно обмениваться не только ссылками, но и статьями с ссылкой на сайт. Есть большое количество web-мастеров, которые готовы меняться ссылками в этом разделе.
Точный прирост ТИЦ: от 10 до 200 и больше

Добавление новостей
Размещение новостей с обратной ссылкой на сайт на сайтах типа www.newsland.ru
Точный прирост ТИЦ: неизвестно

Поддомены
На домене около десятка поддоменов. Все поддомены имеют некоторый тиц (за счет прогона по каталогам в основном). Весь этот ТИЦ, кроме того, что идет на поддомены, также перетекает на основной домен.

Как это и не странно но работает и при грамотной работе хорошо работает, на одном порталчике у меня тиц увеличился на +300 за счет раскрутки поддоменов (городской сайт ,на котором каждая тематика выделена на поддомен: авто, строительство, работа и т.д.) Самое главное: на поддоменах не просто дор, а нормальный сайтик или часть сайта (сервис) + раскрутка поддоменов разными путями, чтобы беки как можно меньше пересекались. Тиц перетекает не наибольший, а со всех (но в какой пропорции и скакого поддомена - неясно) Сухарев

Думаю, что тИЦ основного будет немного больше чем у поддоменов, но на немного. Т.е. тИЦ с поддоменов перетечет так - с одного полностью, а с остальных уже по-чучуть. Плюс желательно прогонять еще сам домен, потому что не везде принимаются поддомены. rekl17

Отпишу по теме, создал бесплатный хостинг на поддоменах, захостил примерно 700 сайтов, тиц у них 10 или 0, итог для основного домена ИЦ180, ничего не делал, вот так... 234sha

Создание небольших блогов на популярных социальных сетях
На сервисах где адрес блога не будет вынесен в поддомен. Пример www.сервис.ru/адрес_блога/
Как пример mail.ru meta.ua ну и другие.

------------------------------------------

Источник http://forum.searchengines.ru/showthread.php?t=277139

Как поднять ТИЦ сайта без ежемесячных платежей. Часть1

Каталоги, закрытые каталоги, закрытые сетки
Ежедневно появляются и умирают десятки каталогов. Либо вручную, либо с использованием систем типа 1ps, uhuhu, autoreg, либо с помощью программ. Опытные люди из этого раздела утверждают что подьем ТИЦа будет до 30-50.

Обмен статьями
Использую обмен статьями в одном из сервисов. Сразу видно если статья неуникальная, да еще одна - максимум прирост 10, если 20 уникальных статей на 100 сайтах - то прирост... до сих пор идет +40 уже есть. seo_man

Ссылки с собственных сайтов
По чуть чуть ссылаюсь с собственных сайтов - типа своя Сапа для личного пользования seo_man

Каталоги cтатей
Существует большое количество каталог17.10.2008ов, которые размещают либо статьи в HTML либо
статью с ссылкой на сайт. По разным данным таких каталогов от 300 до 900. Подробнее в том же разделе.
Точный прирост ТИЦ: от 20

Каталоги пресс-релизов
Да, да, такие есть, наберите в яндексе 'добавить пресс-релиз'.
Принцип такой-же, как и в каталогах статей, только форма пресс-релиза чуть отличается
от статей.
Точный прирост ТИЦ: неизвестен

Форумы и гостевые
Добавление комментариев в форумах и гостевых с ссылкой на свой сайт.
Некоторые утверждают, что прироста ТИЦ это давно ничего не дает. Но мой опыт подсказывает, что форумы и гостевые дают прирост ТИЦ как минимум до 50. Есть также утверждения, что за размещение в форумах с пом. спец . программ типа хруммера ТИЦ могут обнулить (за т.н. спам по форумам).
Точный прирост ТИЦ: от 50

------------------------------------------

Источник http://forum.searchengines.ru/showthread.php?t=277139

понедельник, 6 апреля 2009 г.

Отложенная публикация и wp-cron.php

Собираясь уехать на недельку отдохнуть, я решил опробовать такую функцию WordPress, как отложенная публикация записи. Написал несколько статей, распределил даты публикации на неделю вперед и попробовал испытать эту возможность блога на одной из статей. Однако WordPress отказался публиковать статью в назначенное время, а счетчик минут, оставшихся до публикации стал почему-то увеличиваться. Воспользовавшись поиском, я узнал, что такая проблема возникает у многих блогеров, а путей ее решения никто не знает. После долгих изысканий на англоязычных форумах я узнал почему WordPress не хочет публиковать статьи в заданное время и нашел способ как это исправить.

Любые действия, которые регулярно повторяются WordPress выполняет через использование псевдо-крона в wp-cron.php, однако существует вероятность того, что у вашего хостера неправильно настроен сервер для работы этого файла. В частности, в настройках сервера должно быть прописано разрешение для функции fsockopen использовать локальные адреса. Если же на локальные адреса прописан запрет скрипт в файле wp-cron.php выполняться не будет. Можно, конечно, попросить хостера изменить настройки сервера, но большинство хостеров вам в этом откажет. Поэтому используем обходной путь. Открываем на редактирование файл wp-cron.php и комментируем (добавляя в начало символ #) строчки:

23
24
if ( $_GET['check'] != wp_hash('187425') )
exit;

Теперь, если вы откроете ссылку вида http://www.myblog.ru/wp-cron.php скрипт в этом файле выполнится и все ваши просроченные публикации немедленно будут опубликованы. Конечно, ручное дергание файла wp-cron.php нам ни в коем случае не подходит, а поэтому настраиваем выполнение данного скрипта через демон cron. Его настройка осуществляется разными путями у различных хостеров, читайте документацию по хостингу. В моем случае мне помогла такая команда:

0 * * * * /usr/local/bin/php5 -q http://www.wordpressplugins.ru/wp-cron.php

То есть cron будет выполнять скрипт в wp-cron.php каждый час. Точное время публикации записи соблюдено не будет, но опоздание с публикацией в течение часа по сути не так уж и страшно, главное, что сама отложенная публикация будет работать. Попутно решилась проблема с плагином WordPress Database Backup, который именно по этой причине не хотел отправлять мне бекапы на имейл раз в неделю.

Что делать, если ваш хостинг не предоставляет возможности использовать демон cron? Есть такой сервис как WebCron.org - это именно то, что вам нужно. Он сможет регулярно выполнять ваш скрипт в .php файле, просто скормите ему ссылку файла скрипта и укажите, как часто его выполнять.

PS. Данная статья запланирована на публикацию в 3:50 ночи 3 августа, следовательно опубликована она будет в 4 часа утра 3 августа.

-----------------------------------

Источник http://www.wordpressplugins.ru/faq/cron.html