قضايا أمن ASP.NET، ربما UMBRACO ذات الصلة، ولكن على الأرجح مشكلة أمن عام فقط
https://stackoverflow.com/questions/1843373
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدي مشكلة محبطة بشكل لا يصدق تنظيف موقعي في الوقت الحالي. على نفس مساحة الاستضافة لدي UMBRACO (ASP.NET) و Blab Lite (Soاعة PHP Chat) المثبتة. المحادثات السابقة إلى SQL 2005، والأخير إلى MySQL 5.
على موقع UMBRACO الخاص بي، كان لدي سجل سجل مع نموذج دخول. عند إعادة النشر، تقوم بفحص Akismet ويتخطى إنشاء / حفظ مستند UMBRACO المقابل إذا تم التحقق منه بواسطة Akismet كما البريد المزعج.
ومع ذلك، فقد بدأت مؤخرا في الحصول على الإدخالات التي تم إنشاؤها ضمن عقدة دفتر الزوار التي يتم التحقق منها كبريد مركلي، ومع ذلك، لا تزال المستند محفوظات. لقد ذهبت حتى بقدر إخفاء النموذج باستخدام "عرض: لا شيء"، ومع ذلك، لا يزال بإنشاء هذه الإدخالات! لقد قمت بتعديل DLL لتضمين التسجيل إلى سجلات أحداث مستند UMBRACO وإنشاء هذه غير ذلك لا يؤدي إلى تشغيل أي إدخالات إلى السجلات. لقد قمت بإنشاء EventHandler لحدث المستند.
أنا حقا أعتزم كيف يمكن أن يقوم المرسلون بإنشاء هذه الإدخالات. هل حصل أي شخص على أي أفكار كيف يمكن القيام بذلك، وكيف يمكنني تأمين موقعي لمنع هذا النوع من الهجوم؟
شكرا، داني.
المحلول
هذا يبدو وكأنه منشور قديم ولكنه غير ملحوظ كما أجاب لذلك سوف أعطيه الذهاب. لقد استخدمت UMBRACO في حين لست متأكدا مما إذا كان قد إصلاح هذا في أحدث إصدار، ولكن المشكلة هي مع UMBRACO تكنولوجيا المعلومات. يتم إطلاق document.beforesave () بعد إنشاء العقدة، ولهذا السبب لا يعمل مرشح البريد العشوائي الخاص بك. بمناسبة النموذج غير المرئي لن يعمل Wont لأن BOT سيبحث في التعليمات البرمجية المصدر ومطابقة نمط فقط إلى حقول النموذج التي يجدها. إلقاء نظرة هنا لمزيد من التفاصيل حول مشكلة UMBRACO:
http://forum.umbraco.org/yaf_postst9312_beforepublish-and-beforesave-event-handlers.aspx.
كما قلت أنني لم أستخدم UMBRACO في الأعمار، ولكن نأمل أن يساعد شخصا ما حتى لو وجدت إصلاحا.
بول
نصائح أخرى
تخميني هو أن هناك خطأ في التعليمات البرمجية الخاصة بك لتخطي إنشاء / حفظ مستند UMBRACO ... على الرغم من أنه من الغريب أنه لا يتم تشغيل الحدث المستند.beforesave. هل أنت متأكد من أن مستمعي الأحداث يعملون أيضا (أي يقومون بتسجيل حفظ إدخالات غير الرسائل غير المرغوب فيها؟)
بالمناسبة، إعداد "العرض: لا شيء" لن يتوقف عن البريد العشوائي حيث أن الروبوتات ستجاهل بشكل عام CSS على أي حال.
نعم، فإن مستمعي الحدث يعملون بالفعل. هذا يقودني أن أفكر في شيء آخر غريب هنا. أخيرا أخذت الغطس وذهب من خلال كل شيء مع مشط أدنى مسنن. أولا، قارست محتوى مجلد BIN بين توزيع UMBRACO 4 القياسي والآخر على مضيفي. احسب أنه كان من الأسهل الكتابة فوق كل واحد مع واحد جديد. ثم ذهبت عبر كل حزمة أومبراكو التي قمت بتثبيتها وتأكد من أن DLLs بخير أيضا. حسنا، كان هناك 1 DLL لم يطابق أي شيء آخر في Umbraco أو الحزم التي قمت بتثبيتها - EO.WEB.DLL!
يبدو أن هناك شيء شرعي هناك بواسطة assementoBjects لكنني لا أعتقد أن UMBRACO أو التعليمات البرمجية الخاصة بي أو أي من الحزم تستخدمه بالفعل! لقد حذفتها وكل جزء من تثبيت UMBRACO الخاص بي لا يزال يعمل! لقد قمت الآن بوضع وضوح من النموذج في علامة ASCX بحيث لا يتم تقديمه - الآن ننتظر ونرى ما إذا كان هذا هو القطعة المخالفة من البرامج الضارة!
