ASP.NET 安全问题,也许Umbraco相关的,但最有可能只是一般安全问题
https://stackoverflow.com/questions/1843373
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我有一个非常令人沮丧的问题清理我的网站的时刻。在同主办的空间,我有Umbraco(ASP.NET)和多嘴Lite(PHP聊天室)安装。前者谈到SQL2005年,后者为5MySQL.
在我Umbraco网站的我有留言簿条目的形式。在回发它的一个Akismet检查和跳过建立/保存的相应Umbraco文件如果就是证实通过Akismet如垃圾邮件。
然而,最近我开始越来越项目下创建的我的留言点是核实为垃圾邮件,但该文件仍然是保存。我甚至已经尽隐藏的形式使用"显示:没有"但是,这些项目仍然是创建了!我已经修改DLL包括记录到Umbraco文件的事件日志,并以某种方式设立这些仍然没有触发的任何项目的记录。我甚至已经创建了一个处理对文件。保存之前的事件,在一个单独的组件和这一事件的处理程序是没有赶上的节约,这些条目。
我真的很难倒了如何垃圾邮件发送者可以创建这些项目。有人有任何想法如何可以做到这一点,以及如何我可以保护我的网站,以防止这种攻击?
谢谢, 丹尼.
解决方案
这似乎是一个老的文章,但作为回答,所以我给它一个走这没有标明。我havnt用一把umbraco在一段时间,所以我不知道他们是否已经在最新版本中修复了这个,但问题是用一把umbraco它的自我。 Document.BeforeSave()被炒鱿鱼后创建的节点,这就是为什么你的垃圾邮件过滤器无法正常工作。标记的形式不可见不会工作,因为机器人将看看源代码,只是模式匹配找到的表单字段。看看这里为上一把umbraco问题的详细信息:
http://forum.umbraco.org/yaf_postst9312_BeforePublish-and -BeforeSave-事件Handlers.aspx
就像我说我没有用一把umbraco的年龄,但我希望它会帮助,即使你已经找到了解决的人。
保
其他提示
我的猜测是,有一个错误,在你的代码可以跳过建立/保存的Umbraco文件...虽然很奇怪的是,该文件。保存之前的事件没有触发的。你确定事件的听众也是工作(即他们注册的节省的非垃圾邮件的条目?)
通过这种方式,设"显示:没有"不会阻止垃圾邮件发送者为机器人通常会忽略CSS无论如何。
烨,事件侦听器确实工作。这使我想到别的东西是奇数这里。我最后的暴跌,并通过它都去用细齿梳。首先,我比较了标准的一把umbraco 4分布和我的主机上的一个之间的bin文件夹中的内容。我想这是最简单的覆盖每一个用新的。然后,我通过我已经安装了各一把umbraco包去,并确保这些DLL也很好。嗯,有1个DLL不匹配任何东西一把umbraco或包我已经安装了其他人 - EO.Web.dll!
似乎有通过EssentialObjects是一个合法的东西在那里,但我不认为一把umbraco,我的代码,或任何包装的实际使用它!我删除它,我一把umbraco的每一个部分安装仍然有效!我现在设置的ASCX标记形式的可见度,所以它不会呈现 - !现在,我们拭目以待,如果这是违规的恶意软件
