사이트에서 스팸봇을 방지하시나요?

Question

스팸 봇이 있는 상당히 큰 웹사이트 중 하나에 문제가 있습니다.봇이 사용자 계정을 만든 다음 다양한 스팸 링크로 연결되는 저널 항목을 게시하는 것으로 보입니다.

그들은 보안 문자를 어떻게든 우회하고 있는 것 같습니다. 보안 문자가 깨졌거나 다른 방법을 사용하여 계정을 만드는 것입니다.

해당 계정에 대한 이메일 활성화를 모색 중이지만 바쁜 일정으로 인해 이러한 변경 사항을 구현하려면 일주일 정도 남았습니다.

그러나 사이트 어딘가에서 SQL 익스플로잇을 사용하고 전체 크로스 사이트 스크립팅 작업을 수행하는 경우 이것만으로는 충분하지 않을 것 같습니다.그래서 내 질문은 다음과 같습니다.

XSS 익스플로잇을 사용하고 있다면 어떻게 찾을 수 있나요?가능한 한 명령문을 보호하고 있지만 사이트가 상당히 크기 때문에 XSS를 방지하기 위해 SQL 문을 적극적으로 정리하는 데 시간이 좀 걸릴 것입니다.우리 상황에 도움이 될 만한 것을 추천해주실 수 있나요?

Answer 1

1) 위에서 언급한 바와 같이 리캡차 좋은 시작이다.

2) 아키메트 스팸이 게시되기 전에 스팸을 신고할 수 있는 좋은 방법입니다.이는 Wordpress가 스팸을 차단하기 위해 사용하는 것이며 매우 효과적입니다.그런 다음 결과에 따라 항목을 거부하거나 조정 대기열에 넣을 수 있습니다.API도 엄청나게 사용하기 쉽습니다.(필요하다면 PHP 코드가 있습니다).무료 버전을 사용하여 시작할 수 있다고 확신하지만 상업용 라이센스가 필요할 수도 있습니다.

3) 이메일 주소 확인은 많은 스패머가 가지고 있지 않은 유효한 이메일 계정이 필요하므로 확실히 좋은 생각입니다.너무 어려운 것처럼 이메일 주소를 쉽게 확인하도록 하세요. 합법적인 사용자도 거부할 수 있습니다.

Answer 2

봇이 어딘가에 스크립트에 구멍을 악용하는 경우 로그에 그 증거가 있어야합니다. 히트 전에 일반적인 "정상적인"서핑 활동없이 사용자 생성 스크립트 및 저널 항목 작성 스크립트에 대한 직접 게시물을 확인하십시오. 봇은 사이트를 한 번만 트롤링했을 수 있으며 양식을 끌어 내고 채우는 척하는 단계를 우회하고 있습니다. 쿼리 문자열에서 명백한 XSS 유형 데이터가있는 요청을 찾으십시오.

또한 양식 내에 숨겨진 필드에 임의의 토큰을 포함시킬 수 있으며 활성화/게시물을 통과하기 위해 토큰이 있어야합니다. 봇이 가입 스크립트를 한 번만 구문 분석하고 직접 게시물을 수행하는 경우 봇 제작자가 잡아서 토큰을 찾을 때까지 트랙에서 멈출 것입니다. 그러나 더 나은 시스템을 구현할 수있는 호흡 공간을 제공 할 것입니다.

사용자 계정 테이블에 어떤 종류의 생성 시간 스탬프가없는 경우, 하나를 넣고 서버에 사용자 스크립트가 아닌 타임 스탬프를 생성하도록하십시오. 이렇게하면 봇 활동에 대한 로그를 스캔하고 그들이 수행하는 일을 확인하기 위해 기간을 좁힐 수 있습니다. 그리고 다른 것이 없다면, 당신은 봇이 게시하는 IP를 차단할 수 있습니다.

Answer 3

누군가가 Akismet에게 조언 할 수 있다는 사실에 놀랐고 답으로 받아 들여집니다.

• Akismet 참여는입니다 개인 정보 보호법 침해로 EU의 불법;
• 어느 블랙리스트 시스템은 범죄자에게 도움이되며 합법적 인 사용자가 인터넷을 사용할 수 없습니다.;
• 분석을 위해 스팸을 수집하는 시스템은 Spammer 기술의 발전과 봇 개발 뒤에 항상 소급 적으로 지연 될 수 있습니다.
• 스팸 봇을 차단하는 대신 봇으로 공급되는 스팸을 축적하고 분석 해야하는 이유는 무엇입니까?