How to trick people into thanking your posts!

~~blbl~~ · 08/13/2008, 03:08

How to trick people into thanking your posts!

Step 1: Make a signature / Graphic that will atract attention. Here is an example:

Step 2: Log in a different account, or log out. Hover your mouse over the thanks buttons on one of your posts. In firefox and internet explorer, you see the url in the bottom left hand corner of the browser. Write this down.

Step 3: Edit your signature so it looks like so:
(url=whatever you wrote down)(img)direct url of the sig(/img)(/url)
Replace the '(' and ')' with a bracket ( '[' and ']' )

Step 4: You're done! when people click the sig, it thanks your post!

X-Matrix · 08/13/2008, 07:04

But it works only in the thread where the Thank URL is from.... tried many times before you.

labbeduddel · 08/13/2008, 16:14

Na und?
Trotzdem ein Tool um sich THX's zu ergammeln

Atheuz · 08/14/2008, 17:59

Best. Tutorial. Ever.

Now do a research about RewriteEngine.

Atheuz · 08/17/2008, 22:09

Quote:

Originally Posted by 91falk

Dann sollten die Admins vielleicht mal Post-Variablen und keine Get-Variablen benutzen...

Selbst mit POST würde oberes Beispiel gehen. noch referer blocken gogogogo

Atheuz · 08/18/2008, 14:30

Quote:

Originally Posted by 91falk

Nein mit Post würde das nicht gehen.
DA würde der Link nämlich einfach nur so aussehen:

Die ganzen Get-Variablen hinter dem ? würden wegfallen und der Link würde für jeden Post gleich aussehen.

Das könnte dann z.B. so aussehen:

PHP Code:

<?php echo" <form action=/forum/post_thanks.php> <input type='hidden' name='do' value='post_thanks_add'> <input type='hidden' name='p' value='var1'> <input type='hidden' name='securitytoken' value='var2'> <input type='submit' value='Thanks'> </form>"; ?>

(var1 ist natürlich durch zu ersetzen und var2 durch , nur wenn ich es direkt in den Code reinschreiben würde wird es irgendwie nicht angezeigt...)

Wie gesagt, mithilfe von etwas javascript kann man auch einen Post Header von einer fremden Seite verschicken lassen ohne das der User es merkt.

Ohne funktionierende SID oder Kontrolle in den Post Header kann man so z.B die Emails von Usern ändern die noch eingeloggt sind auf den meisten Seiten. Und der Token funktioniert bei EPVP nicht

Atheuz · 08/22/2008, 15:01

Quote:

Originally Posted by 91falk

Trotzdem wäre es mit Hilfe von Post variablen sicherer, sodass mit Sicherheit 90% der User siich ihre "Thanks" nicht mehr ercheaten können.

Außerdem könnte man (was alerdings auch mit Get-Variablen gehen würde)
einen verschlüsselten String mit schicken, der je nach Zeit unterschiedlich ist.
Und zwar indem man eine belibige Buchstabenkette nimmt und den Aktuellen Timestamps anhängt, diesen String verschlüsselt und dann im Thanks-Script überprüft, ob der Thanks noch aktuell ist, indem es in einer whileschleife z.B. die verschlüsselten Strings der letzten 3600sec (eine Stunde) überprüft.
Dann könnte man sich Thanks nur noch ercheaten, indem man die verschlüsselte Zeichenkette crackt.
Und wenn man diese dann wieder mit Post-Variablen verschickt, wird es noch schwerer.
Du siehst also:
Mit ganz simplen Methoden kann man das schon verhindern.

Du hast es endlich verstanden, allerdings ist sowas mit einen Token auch möglich zu umgehen

request.send();
request.responseText.match();

da_bluex · 08/22/2008, 16:51

nice idea.