網域名稱俱樂部


返回   網域名稱俱樂部 > 電腦與網路技術 > 電腦網路相關技術
論壇幫助 社區 日曆事件 今日新文章 搜尋

回覆
 
主題工具
  #21  
舊 2006-11-10, 02:18 PM
achilles achilles 目前離線
普通會員
 
註冊日期: 2003-03-29
住址: 新竹
文章: 36
預設

引用:
作者: robowang
請用底下的連結進行測試:
http://robowang.net/ForumTest2.htm

網頁程式我只會用 ASP.NET 來寫, 沒辦法提供 PHP 的例子, Sorry !
您的網頁只要產生類似:
http://forum.emeitech.com/(lpdhva2lp...xtBox1=message

這樣的網址就可以把資料塞到你的資料庫了,不需所謂的 "機器人"。

其中 "220.128.231.xxx" 是我的 IP,之前的 "59.105.27.xxx" 所發表的 "posted by wget" 應該也是使用相同的方法,寫個迴圈用 linux 的 wget 去存取上列的網址即可。

在此建議你:

1. 既然你上層有加個帳號/密碼驗證,為何沒有在 NewPost.aspx 裡做判斷?
2. NewPost.aspx 應再判斷資料是否以 "POST" 方法送出,如果不是,就不接收資料。
3. NewPost.aspx 應再檢查伺服器的 HTTP_REFERER 參數(Windows 的網頁伺服器似乎沒有提供這個參數),看看資料是否來自你自己的網頁。
4. NewPost.aspx 應再檢查伺服器的 HTTP_USER_AGENT 參數判斷是否在自主流的瀏覽器。
5. 增加一欄 "圖片文字" 來讓使用者輸入。

不過我自己寫的程式,用了前四點,還是會被 SPAM 攻破,因為那些資料都是可以偽裝送出,而第 5 點,目前已經逐漸被破解了,只是比較費功夫而已。

原本上面的資料只想發訊息跟你說的,但最後我還是選擇發表在網站上,因為這樣可以有更多的討論,希望你可以見諒。
回覆時引用此篇文章
  #22  
舊 2006-11-10, 03:45 PM
robowang robowang 目前離線
進階會員
 
註冊日期: 2004-05-22
文章: 372
預設

我所做的那個測試網頁程式, 非常簡單, 並沒有做很多檢查, 只有:
1. 在前端以 JavaScript 檢查是否網頁被包在 Frame 當中
2. 在 NewPost.aspx 中, 透過 Session 檢查是否使用者已登入
就是如此而已, 第 2 步驟是任何論壇程式都會進行的檢查,
我只是多加了第 1 步驟, 目的是希望能用這個簡單的動作, 防止BOT攻擊
當然, 我也明白這些都無法防止『針對性』的攻擊, 但對於網路上自動偵測與攻擊的機器人
我想應該可以防止才對

所謂『針對性』的攻擊, 是指以半人工的方式進行攻擊, 非要攻擊成功不可。這是無可防堵的
我想請問你, 你是否用人工方式取得 NewPost.aspx 的內容 ?
以人工分析之後, 再寫程式將資料存入 ?

我這裏希望找到一個簡單方法(只要加一行 JavaScript 指令), 來防堵『自動』攻擊的機器人
如果機器人是程式輔以人工分析, 那麼任何防堵的方法都無效
回覆時引用此篇文章
  #23  
舊 2006-11-10, 05:23 PM
some some 目前離線
進階會員
 
註冊日期: 2003-09-23
住址: 屏東
文章: 3,612
預設

引用:
作者: achilles
您的網頁只要產生類似:
http://forum.emeitech.com/(lpdhva2lp...xtBox1=message

這樣的網址就可以把資料塞到你的資料庫了,不需所謂的 "機器人"。

其中 "220.128.231.xxx" 是我的 IP,之前的 "59.1...
第5點 攻破的原理是什麼?

本來我的留言板也一直被灌留言..
自從我加圖片驗證就不再出現過了
http://asset.tw/guest/add.php?action=new
__________________
nice to meet you                   flickr
回覆時引用此篇文章
  #24  
舊 2006-11-10, 06:05 PM
achilles achilles 目前離線
普通會員
 
註冊日期: 2003-03-29
住址: 新竹
文章: 36
預設

可以參考一下這個網頁: http://sam.zoy.org/pwntcha/

不過我認為圖片驗證仍是目前最安全的方式

引用:
作者: some
第5點 攻破的原理是什麼?

本來我的留言板也一直被灌留言..
自從我加圖片驗證就不再出現過了
http://asset.tw/guest/add.php?action=new
回覆時引用此篇文章
  #25  
舊 2006-12-27, 09:00 PM
mailking mailking 目前離線
初級會員
 
註冊日期: 2006-06-24
文章: 25
預設 .....

我可以提供一下一ㄍ方式
我ㄉ流言板現在沒用任何認證
可是之前也是會被貼
後來我炸她們IP 因為她們固定用那幾個ip
炸過幾次就再也不敢來了
回覆時引用此篇文章
  #26  
舊 2006-12-27, 11:08 PM
dmwc dmwc 目前離線
進階會員
 
註冊日期: 2005-05-02
文章: 1,062
預設

引用:
作者: mailking
後來我炸她們IP 因為她們固定用那幾個ip
炸過幾次就再也不敢來了
可以告訴你,這招其實是無效的,他們機器人只是在租一台主機,然後在上面跑程式去灌別人,國外主機大都頻寬大的很,你的那一點點小頻寬能起啥作用?
回覆時引用此篇文章
  #27  
舊 2006-12-27, 11:43 PM
wmh wmh 目前離線
進階會員
 
註冊日期: 2004-08-27
文章: 310
預設

防止機器人的方式除了圖片還可以用語音,當然不論文字或語音的防堵方式,在可見的未來,都有可能被結合辨識技術去破解。所以,在這些基本的技術上還可以加上一些變化,例如需要經過人類思考才能選擇出答案的。

例如,選三張自然界的圖片:
http://www.gigoit.org/humanauth/
回覆時引用此篇文章
回覆


發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼



所有時間均為 +8。現在的時間是 04:44 PM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.