Pokusy o nabourání webu?

Jaké bylo dnes ráno mé překvapení, když jsem zjistil, že jsem dostal z kontaktního formuláře svého webu přes 80 mailů. Zjistil jsem, že se jednalo patrně o pokus o nabourání, přikládám zde seznam předmětů zpráv, resp. emailů odesílatelů, třeba to někomu pomůže, když bude chtít odladit odolnost svého webu. Třeba ještě někdo přidá další... . Tak mě teď napadá - nepřiložíte ještě někdo doporučení na implementaci captcha pro php nebo nějakou jinou ochranu, ať se tohle množství mailů nestane pravidlem. A ještě ten seznam: 1234' || 'somechars 1234'; 1234' exec master..xp_cmdshell 'vol'-- >"'> " style="background:expression(alert(27863))" OA=" 12341 having 1=1-- 1234/**/or/**/7659=7659 1234' or "'foobar'='foobar')" -- 1234' || 'somechars somechars' || '1234 1234';select * from dbo.sysdatabases-- 1234 and 0=7659 u003Cscriptu003Ealertu002827729u0029u003C/scriptu003E "1234)" having 1=1-- Díky Pavel

Napsal pkotala;71941

Jaké bylo dnes ráno mé překvapení, když jsem zjistil, že jsem dostal z kontaktního formuláře svého webu přes 80 mailů.

Tak to byl vcelku mírumilovnej robot, jednou jsem se potýkal s mailama v řádu tisíců. Dnes už bych na web nedal žádnej nechráněnej formulář, kterej ve výsledku něco dělá - třeba posílá emaily. Možností na ochranu captcha je dost - hoď do google nebo na hotscripts dotaz "php captcha". Jinak používám i jiné alternativní metody, například políčku, před které napíšeš 5+4= (a účastník do políčka musí doplnit výsledek - tím zároveň odfiltruješ lidi se záporným IQ) nebo například vypíšeš "vysavač, voda, ryba" a v políčku požádáš, aby ti opsali název zvířete. Matematickej příklad nebo skladba slov by se samozřejmě měla měnit. Vždycky je to opruz navíc pro uživatele, ale jinak to holt nejde. Dobré (avšak implementačně složitejší) jsou varianty s Javascriptem, kdy v případě funkčního javascriptu dovede explorer vyplnit nějaký kontrolní mechanizmus za uživatele a ještě ho skrýt. Robot často javascript neumí, takže na tom pohoří.

Napsal vitjurasek;72319

Vždycky je to opruz navíc pro uživatele, ale jinak to holt nejde.

Často stačí přidat pole s nějakým lákavým názvem (name="url") a nadepsat jej „nechejte prázdné“. Kdo jej pak vyplní, je buď robot nebo debil.Varianta B: pokud nechceš filtrovat debily, můžes pole schovat pomocí CSS. Pak jej budou vyplňovat pouze roboti.