ASP.NETのセキュリティの問題、多分Umbraco関連が、最も可能性が高いだけで、一般的なセキュリティ上の問題

Question

私は、現時点では、私のサイトをクリーンアップする信じられないほどイライラ問題を抱えています。同じホスティングスペースに私はUmbraco（ASP.NET）とBLABライト（PHPチャットルーム）がインストールされています。 SQL 2005に旧会談、およびMySQL 5に後者ます。

私のUmbracoサイトで私は、エントリーフォームでゲストブックを持っていました。ポストバック時にそれがアキスメットチェックを行い、それがスパムとしてAkismetがによって検証された場合、対応するUmbraco文書の作成/保存をスキップします。

しかし、最近私は、スパムとして確認されている私のゲストブックのノードの下に作成されたエントリを取得し始め、まだ文書がまだ保存されます。しかもこれらのエントリがまだ作成されています。私も限り「なし表示」を使用してフォームを隠すように行っています！私はまだログにエントリをトリガしませんUmbracoの文書イベントログと何らかの形でこれらの創造にログを含めるようにDLLを変更しました。私も別のアセンブリにDocument.BeforeSaveイベントのイベントハンドラを作成して、このイベントハンドラは、これらのエントリの保存をキャッチされていません。

私は本当にスパマーはこれらのエントリを作成することができます方法についての困惑します。誰もがこれを行う方法任意のアイデアを持っている、そしてどのように私はこの種の攻撃を防ぐために、私のサイトを確保することができますか？

おかげで、 ダニーます。

Answer 1

これは、古いポストのように思えるが、私はそれをやってみるよ答えとしてそれがマークされていません。彼らは最新バージョンでこれを修正した場合、私はので、私はわからないんだけどしばらく使用Umbracoをhavntが、問題はUmbracoのそれの自己です。ノードが作成された後Document.BeforeSaveは（）あなたのスパムフィルタが機能しない理由、それはだ、トリガーされます。ボットは、ソースコードを見て、ちょうどパターン、見つかったフォームフィールドと一致しますので、表示されていない文句を言わない作品として形をマーク。 Umbracoの問題の詳細についてはこちらをご覧ます：

http://forum.umbraco.org/yaf_postst9312_BeforePublish-and -BeforeSave-イベントHandlers.aspxする

私は年齢にUmbracoを使用していないが、うまくいけば、それはあなたが修正を発見した場合でも、誰かを助ける言ったように。

ポール

Answer 2

私の推測では、Umbraco文書の作成/保存...それは奇妙ではあるがDocument.BeforeSaveイベントがトリガされていないことをスキップするためにあなたのコードにバグがあるということです。あなたは（すなわち、彼らは非スパムエントリの保存を登録できますか？）

あなたのイベントリスナーも機能していることを確信しています

ところで、設定。：ボットは、一般的にCSSを無視するよう「表示なし」はスパマーを止めないではないだろうとにかく

Answer 3

うん、イベントリスナーが実際に働いています。これは、何か他のものはここに奇妙だと思うように私をリードしています。私は最終的に思い切ってし、細かい歯の櫛と一緒にすべてを行ってきました。まず私は、標準Umbraco 4分布と私のホスト上の1の間のbinフォルダの内容を比較しました。私はそれが新しいものにそれぞれ1を上書きする最も簡単だった考え出し。それから私は私がインストールした各Umbracoのパッケージを介して行ったとDLLも細かいことを確認しました。 EO.Web.dll - まあ、私がインストールしたUmbracoまたはパッケージで何かを一致しませんでした1つのDLLがありました！

これが合法的なものがEssentialObjectsによってありますが、私はUmbraco、私のコード、またはパッケージのいずれかが実際にそれを使用するとは思わないですね！私はそれを削除してインストールし、私のUmbracoのすべての部分はまだ動作します！それがレンダリングされていないので、私は今、ASCXマークアップのフォームのの可視性を設定している - 今、私たちは待って、それはマルウェアの問題のある作品だったかどうかを確認します。

！