⇒⇒⇒ Inédit : Comment Spammer MSN Reporter

TOUS LES JOURS LE POISSON D'AVRIL, PIEGEZ VOS AMIS AVEC CE JEU!

Assistance, Maintenance, Réparation Ordinateur: à domicile, sur site, à distance, SOS PC.

Inédit : Comment Spammer MSN Reporter

mer, 07/03/2007 - 13:57 — depanneur

mise à jour novembre 2007: notez que cet article est vieux et que maintenant MSN a renforcé sa protection, bien qu'il soit encore possible de voter pleins de fois pour sa news en effaçant les cookies (avec un plug ins firefox par exemple) mais bon c'est plus aussi facile, en plus ils ont un gars qui s'occupe d'effacer le spam donc bientôt ils seront prêt pour ouvrir la version FRANCE avec les centaines de spammeurs en herbe :-)

MSN est en train de tester un nouveau "DIGG-like" pour les Pays-Bas, la Norvège et la Belgique (en français et en flamand) mais a oublié de se protéger du spam, du moins pour le moment. Et bien sûr les spammeurs en profitent en ce moment même, il suffit de voir la liste classée par popularité pour se rendre compte du manque de subtilité de ceux-ci.

Le nouveau (février 2007) service d'actualités de MSN permet aux lecteurs de voter POUR ou CONTRE une nouvelle et ainsi d'établir un classement selon la popularité des nouvelles, à l'instar de ce que fait DIGG et un bon nombre de copies, y compris des francophones telles que FUZZ, SCOOPEO, NUOUZ, WIKIO ou encore TAPE MOI...

Sauf qu'ici il n'y a pour l'instant aucune protection réelle puisque leur système de vote est basé sur... les cookies.. de sorte que si vous effaçez votre cookie MSN vous pouvez revoter et que si vous refusez carrément les cookies vous pouvez voter indéfiniment. Un régal pour les spammeurs.

Alors comment spammer MSN Reporter? Facile, voici un petit script PHP qui se charge d'appeler 500 fois l'url qui permet de voter pour ou contre.

<?php
for ($i=0; $i < 500; $i++) {
file_get_contents("[URL QUE VOUS VOULEZ]");
echo "URL appelé $i fois.";
}
?>

Surprise, il n'y a pour l'instant aucune protection de la part de l'équipe MSN, à croire qu'ils sont en phase béta et laissent les spammeurs agir afin d'analyser leur comportement et déterminer quelles protections déployer par la suite.

Bien entendu, si vous utilisez ce script bêtement, vous risquez d'être banni (manuellement) et l'adresse IP à partir de laquelle vous éxécutiez ce script ne pourra plus participer. Il suffit d'être un peu plus créatif, par exemple en utilisant l'adresse IP de vos visiteurs en ajoutant dans votre code HTML une image (balise IMG) avec pour adresse (SRC=) l'URL que vous souhaitez appeler, avec un style CSS qui place l'image en dehors de la page pour ne pas nuire au design graphique de votre site :

Cela sera peu détectable par l'équipe de MSN Reporter et donc ce système fonctionnera tant que celle-çi n'aura pas décidé de mettre en place des protections sérieuses contre les spammeurs en tous genres, comme c'est le cas dans la plupart des autres DIGG-like.

Vous voulez vous en assurer? J'ai ajouté une nouvelle dans MSN Reporter Belgique et vous verrez que vous ne pourrez probablement pas voter pour ou contre car en affichant cette page vous venez de voter POUR.
http://reporter.fr.be.msn.com/index.aspx?f=details&hdl_id=1650
==> Mise à jour : la nouvelle que j'ai ajouté vient d'être retirée, ainsi que les nouvelles les plus évidemment spammées, mais la faille a-t-elle été corrigée? J'ai vérifié et la réponse est non, pas encore. L'essentiel pour MSN étant sans doute de cacher la faille plutôt que de la réparer, cela ne vous rappelle rien ? :-)