How to trick people into thanking your posts!

08/13/2008 03:08 blbl#1
How to trick people into thanking your posts!

Step 1: Make a signature / Graphic that will atract attention. Here is an example:

[Only registered and activated users can see links. Click Here To Register...]

Step 2: Log in a different account, or log out. Hover your mouse over the thanks buttons on one of your posts. In firefox and internet explorer, you see the url in the bottom left hand corner of the browser. Write this down.

Step 3: Edit your signature so it looks like so:
(url=whatever you wrote down)(img)direct url of the sig(/img)(/url)
Replace the '(' and ')' with a bracket ( '[' and ']' )

Step 4: You're done! when people click the sig, it thanks your post!
08/13/2008 07:04 X-Matrix#2
But it works only in the thread where the Thank URL is from.... tried many times before you.
08/13/2008 16:14 labbeduddel#3
Na und?
Trotzdem ein Tool um sich THX's zu ergammeln :D
08/14/2008 17:59 Atheuz#4
Best. Tutorial. Ever.



Now do a research about RewriteEngine.
08/17/2008 22:09 Atheuz#5
Quote:
Originally Posted by 91falk View Post
Dann sollten die Admins vielleicht mal Post-Variablen und keine Get-Variablen benutzen...
Selbst mit POST würde oberes Beispiel gehen. noch referer blocken gogogogo
08/18/2008 14:30 Atheuz#6
Quote:
Originally Posted by 91falk View Post
Nein mit Post würde das nicht gehen.
DA würde der Link nämlich einfach nur so aussehen:
[Only registered and activated users can see links. Click Here To Register...]
Die ganzen Get-Variablen hinter dem ? würden wegfallen und der Link würde für jeden Post gleich aussehen.

Das könnte dann z.B. so aussehen:

PHP Code:
<?php
echo"
<form action=/forum/post_thanks.php>
<input type='hidden' name='do' value='post_thanks_add'>
<input type='hidden' name='p' value='var1'>
<input type='hidden' name='securitytoken' value='var2'>
<input type='submit' value='Thanks'>
</form>";
?>
(var1 ist natürlich durch zu ersetzen und var2 durch , nur wenn ich es direkt in den Code reinschreiben würde wird es irgendwie nicht angezeigt...)
Wie gesagt, mithilfe von etwas javascript kann man auch einen Post Header von einer fremden Seite verschicken lassen ohne das der User es merkt.

Ohne funktionierende SID oder Kontrolle in den Post Header kann man so z.B die Emails von Usern ändern die noch eingeloggt sind auf den meisten Seiten. Und der Token funktioniert bei EPVP nicht ;)
08/22/2008 15:01 Atheuz#7
Quote:
Originally Posted by 91falk View Post
Trotzdem wäre es mit Hilfe von Post variablen sicherer, sodass mit Sicherheit 90% der User siich ihre "Thanks" nicht mehr ercheaten können.

Außerdem könnte man (was alerdings auch mit Get-Variablen gehen würde)
einen verschlüsselten String mit schicken, der je nach Zeit unterschiedlich ist.
Und zwar indem man eine belibige Buchstabenkette nimmt und den Aktuellen Timestamps anhängt, diesen String verschlüsselt und dann im Thanks-Script überprüft, ob der Thanks noch aktuell ist, indem es in einer whileschleife z.B. die verschlüsselten Strings der letzten 3600sec (eine Stunde) überprüft.
Dann könnte man sich Thanks nur noch ercheaten, indem man die verschlüsselte Zeichenkette crackt.
Und wenn man diese dann wieder mit Post-Variablen verschickt, wird es noch schwerer.
Du siehst also:
Mit ganz simplen Methoden kann man das schon verhindern.
Du hast es endlich verstanden, allerdings ist sowas mit einen Token auch möglich zu umgehen ;)

request.send();
request.responseText.match();
08/22/2008 16:51 da_bluex#8
nice idea.