Formulaire spammé malgré vérif
23 messages • Page 1 sur 2 • 1, 2
Consultez la formation au référencement naturel Google de WebRankInfo / Ranking Metrics
Formulaire spammé malgré vérif
le Ven Mai 16, 2008 19:47
Bonsoir tout le monde,
Je m'étais fait un petit système maison pour éviter de me faire spammer par des commentaires. Malgré tout,des petits "malins" passent au travers.
La page concernée est la suivante: http://cartes-postales.cap-sizun.com/27 ... ogoff.html
Une âme généreuse pourrait elle me dire par quelle faille passe le spammeur ? J'offre un carambar à celui qui la trouvera
Loïc
Je m'étais fait un petit système maison pour éviter de me faire spammer par des commentaires. Malgré tout,des petits "malins" passent au travers.
La page concernée est la suivante: http://cartes-postales.cap-sizun.com/27 ... ogoff.html
Une âme généreuse pourrait elle me dire par quelle faille passe le spammeur ? J'offre un carambar à celui qui la trouvera
Loïc
le Ven Mai 16, 2008 19:59
Non, ce ne sont pas des spams en masse, disons 3 ou 4 par semaine. Aujourd'hui par contre, j'en ai eu trois d'un coup.
Effectivement, si il y a des ânes qui passent leurs journées à faire ça, je vais avoir du mal à les en empêcher.
Pour celui qui m'a posé la question en commentant, la vérif consiste à poser une question aléatoire. Je cherchais à savoir s'il était possible de contourner cette question par un mécanisme automatique.
Effectivement, si il y a des ânes qui passent leurs journées à faire ça, je vais avoir du mal à les en empêcher.
Pour celui qui m'a posé la question en commentant, la vérif consiste à poser une question aléatoire. Je cherchais à savoir s'il était possible de contourner cette question par un mécanisme automatique.
-
SuperCureuil - WRInaute passionné
- Messages: 662
- Inscription: Ven Mar 09, 2007 9:44
le Ven Mai 16, 2008 20:03
Salut,
Tu n'en dis pas beaucoup sur les abus dont tu es victime, donc c'est large pour ratisser.
Déjà tu devrais vérifier le type de données attendu pour le nom, soit par une expression régulière, soit par une fonction dédiée, parce que là c'est la cata.
Ensuite varier le système maison parce que 'non' comme antispam, un bot un tant soit peu évolué à vite fait de trouver la parade
Enfin, un petit truc récolté sur le forum il y a peu, partagé par Marie-Aude je crois : tu ajoutes un input hidden qui doit rester vide. S'il est rempli c'est que c'est un robot qui poste et donc le formulaire ne doit pas être accepté.
Un autre truc c'est de vérifier que les champs ne contiennent pas de http://-www avant de valider, ça évite déjà pas mal d'ennuis.
Voilà, par ici le carambar
Edit : je n'avais pas vu que l'anti-spam était aléatoire ... autant pour moi Donc comme dit yoyo's, soit c'est manuel, soit c'est un bot qui fait des attaques par dictionnaire.
Tu n'en dis pas beaucoup sur les abus dont tu es victime, donc c'est large pour ratisser.
Déjà tu devrais vérifier le type de données attendu pour le nom, soit par une expression régulière, soit par une fonction dédiée, parce que là c'est la cata.
Ensuite varier le système maison parce que 'non' comme antispam, un bot un tant soit peu évolué à vite fait de trouver la parade
Enfin, un petit truc récolté sur le forum il y a peu, partagé par Marie-Aude je crois : tu ajoutes un input hidden qui doit rester vide. S'il est rempli c'est que c'est un robot qui poste et donc le formulaire ne doit pas être accepté.
Un autre truc c'est de vérifier que les champs ne contiennent pas de http://-www avant de valider, ça évite déjà pas mal d'ennuis.
Voilà, par ici le carambar
Edit : je n'avais pas vu que l'anti-spam était aléatoire ... autant pour moi
Donc comme dit yoyo's, soit c'est manuel, soit c'est un bot qui fait des attaques par dictionnaire.Dernière édition par SuperCureuil le Ven Mai 16, 2008 20:05, édité 1 fois.
le Ven Mai 16, 2008 20:05
Je n'en ai pas l'impression mais je ne suis pas un pro du spam ^^.
Peut-être que quelqu'un s'est amusé à répertorier toutes les réponses possibles et à faire du brute force pendant 10minutes, il y en aura bien quelques un qui passeront surement non ?
Le hidden ne fonctionne pas, déjà testé, et les bots ne sont pas cons ^^ Ils ne remplissent pas les champs contenant un hidden
A la limite, rajoute un système de bannissement si trop de tentatives infructueuses, comme ça tu es sure qu'une attaque dico sera impossible.
Peut-être que quelqu'un s'est amusé à répertorier toutes les réponses possibles et à faire du brute force pendant 10minutes, il y en aura bien quelques un qui passeront surement non ?
Le hidden ne fonctionne pas, déjà testé, et les bots ne sont pas cons ^^ Ils ne remplissent pas les champs contenant un hidden
A la limite, rajoute un système de bannissement si trop de tentatives infructueuses, comme ça tu es sure qu'une attaque dico sera impossible.
-
SuperCureuil - WRInaute passionné
- Messages: 662
- Inscription: Ven Mar 09, 2007 9:44
le Ven Mai 16, 2008 20:18
Le hidden ne fonctionne pas, déjà testé, et les bots ne sont pas cons ^^ Ils ne remplissent pas les champs contenant un hidden
Ah bon ? Testé comment ? J'ai mis ça en place et je n'ai pas à m'en plaindre, au contraire ... M'enfin c'est vrai, que tu peux toujours tomber sur le p'tit bot premier de la classe
A la limite, rajoute un système de bannissement si trop de tentatives infructueuses, comme ça tu es sure qu'une attaque dico sera impossible.
+1
-
Marie-Aude - WRInaute accro
- Messages: 4921
- Inscription: Lun Juin 05, 2006 14:15
le Ven Mai 16, 2008 20:18
Je confirme que pour l'instant, le input hidden marche très bien 
le Ven Mai 16, 2008 20:24
Merci pour vos réponses,
J'avais pensé au input hidden mais si yoyo dit que ça fonctionne pas... Quand à vérifier le nom, je veux bien mais quels caractères interdire ?
Virer les http, j'y ai pensé mais ça me gène un peu. Je voulais carrément les parser pour les transformer en lien mais avant ça il faudra que je sois sur d'avoir un formulaire fiable.
Pour cette fois-ci, j'ai supprimé trop tôt les commentaires et ne peux donc voir les entrées des logs correspondant à l'heure ou ils ont été fait. La prochaine fois je ferai la vérif mais il me semble qu'il n'y a pas 10000 accès et que le spammeur arrive rapidement à passer son com.
Ce qui est "marrant", c'est que c'est la seule page concernée, il en existe pourtant des dizaines d'autres du même type.
Je précise que tout cela n'a rien de dramatique, j'ai 3 modos qui ont également la possibilité de supprimer ce genre de spam.
A propose, qui sont ces spammeurs ?
J'avais pensé au input hidden mais si yoyo dit que ça fonctionne pas... Quand à vérifier le nom, je veux bien mais quels caractères interdire ?
Virer les http, j'y ai pensé mais ça me gène un peu. Je voulais carrément les parser pour les transformer en lien mais avant ça il faudra que je sois sur d'avoir un formulaire fiable.
Pour cette fois-ci, j'ai supprimé trop tôt les commentaires et ne peux donc voir les entrées des logs correspondant à l'heure ou ils ont été fait. La prochaine fois je ferai la vérif mais il me semble qu'il n'y a pas 10000 accès et que le spammeur arrive rapidement à passer son com.
Ce qui est "marrant", c'est que c'est la seule page concernée, il en existe pourtant des dizaines d'autres du même type.
Je précise que tout cela n'a rien de dramatique, j'ai 3 modos qui ont également la possibilité de supprimer ce genre de spam.
A propose, qui sont ces spammeurs ?
-
SuperCureuil - WRInaute passionné
- Messages: 662
- Inscription: Ven Mar 09, 2007 9:44
le Ven Mai 16, 2008 20:51
Quand à vérifier le nom, je veux bien mais quels caractères interdire ?
Tu autorises les caractères alphabétiques le - et l' (au pire tu acceptes les chiffres).
Bref, les caractères susceptibles d'apparaître dans un nom ou un pseudo ...
le Ven Mai 16, 2008 21:08
Pour le problème des questions, c'est que tu en as vraiment pas beaucoup, il est donc très facile de faire du spam "semi-automatique", c'est à dire qu'un humain référencie les questions et réponses, ensuite, le bot n'a plus qu'a faire mumuse.
Tu devrais ajouter plus de questions, mais aussi plus à réponses aléatoire, du style : quel est la dixième lettre de la phrase "Le drapeau Français est bleu, blanc, rouge" en faisant en sorte que dixième soit sortie de manière aléatoire, ainsi que la phrase (ça complique pas mal la tâche à l'humain et au bot), tout comme tes calculs, tu les génères de manière aléatoire en mélangeant les modes d'écriture : combien font 15 ôté de cinquante trois? (en lettres)
Tu devrais ajouter plus de questions, mais aussi plus à réponses aléatoire, du style : quel est la dixième lettre de la phrase "Le drapeau Français est bleu, blanc, rouge" en faisant en sorte que dixième soit sortie de manière aléatoire, ainsi que la phrase (ça complique pas mal la tâche à l'humain et au bot), tout comme tes calculs, tu les génères de manière aléatoire en mélangeant les modes d'écriture : combien font 15 ôté de cinquante trois? (en lettres)
-
Marie-Aude - WRInaute accro
- Messages: 4921
- Inscription: Lun Juin 05, 2006 14:15
le Ven Mai 16, 2008 21:22
Pour que le hidden fonctionne, il faut avoir un zeste d'intelligence de plus que les robots, et il suffit de le mettre dans le css.
Perso, j'appelle mon champs mail2, un beau piège à robots
Perso, j'appelle mon champs mail2, un beau piège à robots
le Ven Mai 16, 2008 21:31
en 20 secondes tu récupère le code, et tu peux spammer à volonté.
La dessus en 2 minutes via php tu fait tourner le "id_sujet", et tu envoie via curl
- Code: Tout sélectionner
<form action="http://cartes-postales.cap-sizun.com/index.php?action=sendcomment&id_sujet=261" method="post">
<input name="pseudo" type="hidden" value="spameur" />
<input name="reponse" type="hidden" value="bleu" /></dd>
<input name="id_question" type="hidden" value="4" />
<textarea name="commentaire"></textarea>
<input type="submit" value="Envoyer" />
</form>
La dessus en 2 minutes via php tu fait tourner le "id_sujet", et tu envoie via curl
23 messages • Page 1 sur 2 • 1, 2
Formation recommandée sur ce thème :
Formation Référencement naturel Google : apprenez une méthode efficace pour optimiser à fond le référencement naturel dans Google de façon durable... Formation animée par Olivier Duffez et Fabien Facériès, experts en référencement naturel.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Recherche dans l'actualité WebRankInfo
- L'annuaire WebRankInfo : inscription gratuite SANS lien retour exigé
- Et si Microsoft achetait Google ?
- Parts de marché des moteurs aux USA (Décembre 2006)
- Guide d'optimisation des redirections pour le référencement
- Parts de marché des moteurs en France (Octobre 2008)
- Google va créer une unité de recherche en Inde
- J'ai de la chance !
- Nouvel outil : calculez la visibilité de votre site
- Google enrichit sa recherche de news
- Spammé sur mon propre formulaire ..
- formulaire de soumission spammé par société de référencement
- Demande de verif
- vérif url rewriting
- Verif pages indexées
- Probleme du code de verif dans RevolutionneYourAnnuaire
- vérif impossible sur sitemaps google
- Vérif avant le vrai lancement d'un site
- Je me spamme !
- demande verif pour simple redirectio chez free
- Forum spammé
- GMail spammé / spammeur ?
- Google en erreur ! spammé !
- google spamme-t-il les emails ?
- Je me suis auto-spammé !!!!!!!!!
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
- Index du forum
- L’équipe du forum • Supprimer les cookies du forum • Heures au format UTC + 1 heure
- Flux RSS de WebRankInfo :
le forum- les articles des dossiers
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
, traduction par phpBB-fr.com, mod SEO par phpbb-seo.com
Contact
Confidentialité