منع روبوت الرسائل الاقتحامية في الموقع؟
https://stackoverflow.com/questions/2433602
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدينا مشكلة في واحدة من مواقع الويب الكبيرة إلى حد ما مع روبوتات البريد المزعج. يبدو أن الروبوت يقوم بإنشاء حسابات مستخدمين ثم نشر إدخالات دفتر اليومية التي تؤدي إلى العديد من روابط البريد المزعج.
يبدو أنهم يتراجعون لدينا CAPTCHA بطريقة أو بأخرى - إما تم تصدعه أو يستخدمون طريقة أخرى لإنشاء حسابات.
نحن نتطلع إلى القيام بتنشيط البريد الإلكتروني للحسابات، لكننا على بعد أسبوع من تنفيذ هذه التغييرات (بسبب الجداول الزمنية المزدحمة).
ومع ذلك، لا أشعر أن هذا سيكون كافيا إذا كانوا يستخدمون استغلال SQL في مكان ما على الموقع والقيام بأشياء البرمجة النصية عبر الموقع بالكامل. لذلك سؤالي لك:
إذا كانوا يستخدمون نوعا من استغلال XSS، كيف يمكنني العثور عليه؟ أنا أؤمن البيانات حيث يمكنني ذلك، مرة أخرى، لها موقع كبير إلى حد ما، وسوف يأخذني لحظة لتنظيف بيانات SQL بنشاط لمنع XSS. هل يمكن أن توصي بأي شيء لمساعدة موقفنا؟
المحلول
1) كما ذكر أعلاه recaptcha. هي بداية جيدة.
2) AskImet هي طريقة رائعة لمعرفة البريد المزعج قبل نشرها. هذا ما يستخدم وورد لوقف البريد المزعج وهو فعال للغاية. يمكنك بعد ذلك رفض أو قائمة انتظار إدخال الاعتدال بناء على النتائج. إنه API سهل السخرية للاستخدام أيضا. (لدي رمز PHP إذا كنت في حاجة إليها). قد تحتاج إلى ترخيص تجاري على الرغم من أنني متأكد من أنه يمكنك البدء باستخدام الإصدار المجاني.
3) التحقق من عناوين البريد الإلكتروني هو بالتأكيد فكرة جيدة لأنها تتطلب حساب بريد إلكتروني صالح لا يوجد لدى العديد من مرسلي البريد المزعج. فقط تأكد من إجراء التحقق من عنوان البريد الإلكتروني سهلا كما لو كان من الصعب للغاية أن يتحول المستخدمين المشروعين أيضا.
نصائح أخرى
إذا كانت الروبوتات استغلال ثقب في البرنامج النصي في مكان ما، فيجب أن يكون هناك دليل على ذلك في السجلات. تحقق من وجود مشاركات مباشرة إلى البرامج النصية إنشاء المستخدم والبرامج النصية إنشاء إدخال دفتر اليومية دون نشاط التصفح "العادي" المعتاد قبل النتيجة: قد تكون الروبوتات قد تصطدم بالموقع مرة واحدة فقط وتجاوز خطوة سحب النماذج والتظاهر لهم في. ابحث عن طلبات مع بيانات من نوع XSS الواضح في سلاسل الاستعلام.
يمكنك أيضا تضمين رمزية عشوائية في حقل مخفي ضمن النماذج وتتطلب أن تكون الرمز المميز لتوفير التنشيط / النشر للمرور. إذا قامت الروبوتات فقط بتحليل البرامج النصية الخاصة بك مرة واحدة وتقوم بمرورات مباشرة، فسوف يمنعهم ذلك في مساراتهم حتى يمسك منشئو الروبوت والبحث عن الرمز المميز. لكنه سيمنحك بعض مساحة التنفس لتنفيذ نظام أفضل.
إذا لم يكن لدى جداول حساب المستخدم الخاص بك نوعا من الطابع الزمني للوقت من الوقت، فقم بوضع واحد في وإنشاء الخادم إنشاء Timestamp، وليس نصوص المستخدم الخاصة بك. بهذه الطريقة يمكنك تضييق الفترة الزمنية (الفترة الزمنية) لمسح سجلات نشاط BOT ومعرفة ما يفعلونه. وإذا لم يكن هناك شيء آخر، فيمكنك حظر IPS يتم النشر من.
أنا مندهش من أن شخص ما يمكن أن ينصح Akismet ويتم قبوله كإجابة:
- الاشتباك Akismet هو غير قانوني في الاتحاد الأوروبي كما تنتهك قوانين حماية الخصوصية;
- أي نظام القائمة السوداء يساعد المجرمين، مما يجعل الإنترنت غير قابل للاستخدام من قبل مستخدمي شرعي;
- أنظمة جمع البريد المزعج لتحليلها محكوم عليها بالعمل بأثر رجعي دائما متخلفة عن تقنيات المرسل البريدي التقدم وتطوير الروبوت؛
- لماذا تتراكم وتحليل الرسائل الاقتحامية التي تغذيها الروبوت بدلا من حظر بروبوت الرسائل الاقتحامية؟
