problemas de segurança ASP.NET, talvez Umbraco relacionados, mas provavelmente apenas questão de segurança geral
Pergunta
Eu tenho um problema incrivelmente frustrante limpar meu site no momento. No mesmo espaço de hospedagem eu tenho Umbraco (ASP.NET) e Blab Lite (PHP Chatroom) instalado. Os ex-fala com SQL 2005, eo último para MySQL 5.
No meu site Umbraco eu tinha um livro de visitas com um formulário de inscrição. Após a postagem que faz uma verificação Akismet e ignora a criação / salvar do documento Umbraco correspondente, se for verificada por Akismet como spam.
No entanto, recentemente eu comecei a receber entradas criadas sob o meu nó livro de visitas que são verificados como spam, e ainda o documento ainda é salvo. Eu mesmo ido tão longe como escondendo o formulário usando "display: none" e ainda assim essas entradas ainda são criados! Eu modifiquei o DLL para incluir o log para umbraco logs de eventos de documentos e de alguma forma, a criação destes continua a não provocar nenhuma entrada nos logs. Eu mesmo criado um eventhandler para o evento Document.BeforeSave em um assembly separado e este manipulador de eventos não está pegando a economia dessas entradas.
Estou realmente perplexo de como os spammers podem criar essas entradas. Alguém tem alguma idéia de como isso pode ser feito, e como posso garantir o meu site para evitar este tipo de ataque?
Obrigado, Dany.
Solução
Este parece ser um post antigo, mas não é marcada como respondida por isso vou dar-lhe um ir. I havnt usado Umbraco em quando então eu não tenho certeza se eles já corrigiu isso na versão mais recente, mas o problema é com Umbraco auto. Document.BeforeSave () é demitido após o nó é criado, é por isso que seu filtro de spam não está funcionando. Marcando a forma como vai funcionar não é visível porque o bot vai olhar para o código-fonte e apenas padrão de combinar os campos do formulário que encontra. Dê uma olhada aqui para mais detalhes sobre o problema Umbraco:
http://forum.umbraco.org/yaf_postst9312_BeforePublish-and -BeforeSave-Event-Handlers.aspx
Como eu disse eu não usei Umbraco em idades, mas espero que ele vai ajudar alguém, mesmo se você encontrou uma correção.
Paul
Outras dicas
Meu palpite é que há um bug em seu código para ignorar a criação / salvar do documento Umbraco ... embora seja estranho que o evento Document.BeforeSave não é acionado. Tens a certeza de que seus ouvintes de eventos também estão trabalhando (ou seja, que eles registrar a poupança de entradas que não são spam?)
A propósito, a criação. "Display: none" não vai parar spammers como bots geralmente ignoram CSS qualquer maneira
Sim, os ouvintes de eventos estão trabalhando de fato. Isso levou-me a pensar outra coisa é estranho aqui. Eu finalmente tomou a mergulhar e passou por tudo isso com um pente de dentes-fino. Primeiro eu comparou o conteúdo da pasta bin entre a distribuição Umbraco 4 padrão ea um no meu host. Achei que era mais fácil de substituir cada um com um novo. Então eu passei por cada pacote Umbraco Eu tenho instalado e fez com que as DLLs também são muito bem. Bem, havia uma DLL que não combinava com qualquer outra coisa na Umbraco ou pacotes que você instalou - EO.Web.dll!
Parece que há uma coisa legal lá fora, por EssentialObjects mas eu não acho que Umbraco, meu código, ou qualquer um dos pacotes, na verdade, usa-o! Eu apaguei-lo e cada parte do meu Umbraco instalar ainda funciona! Eu já set visibilidade da forma na marcação ascx então não é prestados - agora vamos esperar e ver se isso foi a peça ofender de malware
!