Prevenire bots spam in loco?
https://stackoverflow.com/questions/2433602
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Stiamo avendo un problema su uno dei nostri abbastanza grandi siti web con spam bot. Sembra il bot stanno creando account utente e quindi inviare le voci del diario che portano ai vari link di spam.
Sembra che stanno scavalcando la nostra captcha in qualche modo - o che è stato rotto o che stanno utilizzando un altro metodo per creare gli account.
Stiamo cercando di fare di attivazione e-mail per i conti, ma siamo circa una settimana di distanza dal attuazione di tali modifiche (a causa di impegni).
Tuttavia, non mi sento in questo modo sarà sufficiente se si sta utilizzando un exploit di SQL qualche parte sul sito e fare il tutto croce cosa site scripting. Quindi la mia domanda a voi:
Se si sta utilizzando un qualche tipo di XSS exploit, come posso trovarlo? Sto fissaggio dichiarazioni dove posso, ma, ancora una volta, è un sito abbastanza grande e mi piacerebbe prendere un po 'per ripulire attivamente istruzioni SQL per evitare XSS. Mi può consigliare qualcosa per aiutare la nostra situazione?
Soluzione
1) Come accennato in precedenza reCAPTCHA è un buon inizio.
2) Askimet è un ottimo modo per fermare lo spam prima di essere pubblicato. E 'quello che utilizza Wordpress per bloccare lo spam ed è estremamente efficace. È quindi potrebbe rifiutare o in coda la voce per la moderazione in base ai risultati. E 'API è ridicolmente facile da usare, anche. (Ho codice PHP se ne avete bisogno). Si potrebbe bisogno di una licenza commerciale, anche se sono sicuro che si può iniziare a utilizzare la versione gratuita.
3) la verifica di indirizzi email è sicuramente una buona idea in quanto richiede un account di e-mail valido che molti spammer non hanno. Basta fare in modo che si fanno verificando l'indirizzo e-mail facile come se è troppo difficile può trasformare gli utenti legittimi via pure.
Altri suggerimenti
Se i bot sono stati sfruttando un buco in uno script da qualche parte, ci dovrebbe essere la prova di quella nei registri. Controllare per i posti senza scalo a script di creazione degli utenti e gli script di creazione voce di diario, senza la solita attività di navigazione "normale" prima del colpo: I bot possono aver trollata il sito una sola volta e sono bypassando la fase di abbattere le forme e facendo finta di riempire loro. Se vuoi per le richieste GET con evidenti dati XSS di tipo nelle stringhe di query.
Si potrebbe anche incorporare un token casuale in un campo nascosto nelle forme e richiedono quella pedina di essere presenti per l'attivazione / la pubblicazione di passare attraverso. Se i bot analizzati solo i vostri script di iscrizione una volta e stanno facendo i messaggi diretti, questo li fermerà nella loro tracce fino a quando i creatori bot cattura su e cercare il token. Ma sarebbe dare un certo respiro per implementare un sistema migliore.
Se le tabelle di account utente non hanno un qualche tipo di tempo di creazione data e ora su di loro, mettere uno in e hanno il server creare il timestamp, non i vostri script utente. In questo modo è possibile restringere il periodo di tempo (s) per eseguire la scansione dei registri per l'attività bot e vedere quello che stanno facendo. E se non altro, si potrebbe bloccare gli IP il bot postando da.
Sono sorpreso che qualcuno può consigliare Akismet e viene accettato come risposta:
- Akismet impegno è illegale nell'UE come violare le leggi sulla protezione della privacy ;
- aiuta i criminali, rendendo inutilizzabile internet dagli utenti legittimi ;
- Sistemi di raccolta spam per analizzarlo sono condannati ad agire retroattivamente sempre in ritardo tecniche degli spammer progressi e lo sviluppo bot;
- Perché per accumulare e analizzare lo spam alimentato da bot invece di bloccare bots spam?
