les problèmes de sécurité ASP.NET, Umbraco peut-être liés, mais très probablement question de la sécurité générale juste

Question

J'ai un problème incroyablement frustrant nettoyage mon site en ce moment. Sur le même espace d'hébergement Je Umbraco (ASP.NET) et Blab Lite (PHP Chatroom) installé. Les anciens pourparlers à SQL 2005, et celui-ci à MySQL 5.

Sur mon site Umbraco j'avais un livre d'or avec un formulaire d'inscription. Sur postback il fait un contrôle Akismet et saute la création / sauvegarde du document Umbraco correspondant si elle est vérifiée par Akismet comme spam.

Cependant, récemment, je commencé à recevoir les entrées créées sous mon noeud livre d'or qui sont vérifiées comme spam, et pourtant le document est toujours enregistré. Je suis même allé jusqu'à cacher le formulaire en utilisant « display: none » et pourtant ces entrées sont toujours créées! Je l'ai modifié la DLL pour inclure l'enregistrement de journaux d'événements de documents Umbraco et en quelque sorte la création de ces ne déclenche pas encore des entrées dans les journaux. J'ai même créé un eventhandler pour l'événement Document.BeforeSave dans un ensemble séparé et ce gestionnaire d'événements est ne rattrapent pas l'enregistrement de ces entrées.

Je suis vraiment perplexe quant à la façon dont les spammeurs peuvent créer ces entrées. Quelqu'un at-il des idées comment cela peut être fait, et comment je peux sécuriser mon site pour éviter ce genre d'attaque?

Merci, Dany.

Answer 1

Cela semble être un ancien poste mais il est pas marqué comme répondu donc je vais lui donner un coup. Je havnt utilisé Umbraco dans un certain temps, donc je ne sais pas s'ils ont fixé cela dans la dernière version, mais le problème est avec Umbraco elle-même. Document.BeforeSave () est congédié après que le nœud est créé, c'est pourquoi votre filtre anti-spam ne fonctionne pas. Pour marquer le formulaire comme ne fonctionnera pas non visible parce que le bot regardera le code source et le modèle juste correspondre les champs du formulaire qu'il trouve. Jetez un coup d'oeil ici pour plus de détails sur le problème Umbraco:

http://forum.umbraco.org/yaf_postst9312_BeforePublish-and -BeforeSave-Event-Handlers.aspx

Comme je l'ai dit que je ne l'ai pas utilisé Umbraco dans les âges, mais nous espérons que cela aidera quelqu'un même si vous avez trouvé une solution.

Paul

Answer 2

Je pense qu'il ya un bug dans votre code pour sauter la création / enregistrement du document Umbraco ... mais il est étrange que l'événement Document.BeforeSave ne se déclenche pas. Etes-vous sûr que vos écouteurs d'événements travaillent également (à savoir ne s'inscrivent l'enregistrement des entrées non-spam?)

Par ailleurs, le réglage. "Display: none" ne spammeurs bots arrêter seront généralement ignorer CSS de toute façon

Answer 3

Eh oui, les écouteurs d'événements fonctionnent bien. Cela me conduit à penser autre chose est étrange ici. J'ai finalement pris le plongeon et je suis allé à travers tout cela avec un peigne à dents plus fine. D'abord, je comparais le contenu du dossier bin distribution standard entre Umbraco 4 et celui sur mon hôte. Je me suis dit qu'il était plus facile de remplacer chacun avec un nouveau. Ensuite, je suis passé par chaque paquet Umbraco je l'ai installé et fait que les DLL sont aussi très bien. Eh bien, il y avait 1 DLL qui ne correspondait pas à quoi que ce soit d'autre dans Umbraco ou paquets que j'ai installé - EO.Web.dll!

Il semble qu'il y ait une chose légitime là-bas par EssentialObjects mais je ne pense pas Umbraco, mon code, ou l'un des paquets utilise réellement! J'ai supprimé et chaque partie de mon installation Umbraco fonctionne toujours! J'ai maintenant définir la visibilité de la forme dans le balisage ascx il est donc pas rendu - maintenant, nous attendons et voyons si tel était le morceau incriminé des logiciels malveillants