我有兴趣学习有关水龙头的所有知识。我曾在其他论坛上提问,并获得了诸如“垃圾邮件始终是用户在您的网站上进行注册”之类的简要答案。
论坛垃圾邮件如何工作?找到“新用户注册”页面? (我特别感到惊讶,因为某些论坛对此没有专用的URL,例如www.forum.com/register.html,而是使用查询字符串或URL栏不可见的其他方法)
如何他们是否知道要在每个“新用户注册”字段中输入什么?
他们如何确定可以向其发送垃圾邮件/在其中输入数据的页面是什么?
他们甚至可以“查看”该页面吗?完全没有?
..如果没有,那么我假设他们直接与服务器通信-怎么-这可能吗?他们是怎么做到的?
论坛垃圾邮件发送程序可以破坏验证码吗?他们可以解决逻辑问题(如何?)?数学问题吗?
它们会反向工程客户端反机器人验证脚本吗?服务器端脚本?
哪些技术仍然可以阻止它们?
水龙头从哪里来?坐在电脑后面的某人在看着他们的机器人在一个站点到另一个站点销毁时窃笑吗?还是他们只是因为以某种方式将其“释放”到互联网上而在窃笑?垃圾邮件是否由受感染的计算机“运行”在某处?它们会自我复制吗?
等
#1 楼
他们如何找到“新用户注册”页面? (我特别感到惊讶,因为某些论坛对此没有专用的URL,例如
www.forum.com/register.html,但是
而是使用查询字符串甚至
URL看不见的其他方法
)
它们通过以下方式找到新站点:
爬行并寻找已知软件的签名。通常,这是一段文本,例如版权或元标记,但也可以是任何一致的标识符。这通常适用于博客和论坛软件。
手动包含。在世界许多地方,劳动力廉价的人们正在寻找易于开发的已知软件或形式,并将其添加到数据库中。这通常适用于自定义注册和联系表格。
他们购买清单。就像垃圾邮件发送者出售电子邮件地址一样,已知的易受攻击者或首选目标站点列表也会被出售。 '字段?
他们知道如何通过使用字段名称作为指导输入每个字段。 99.99%的时间将电子邮件地址字段命名为“ email”或包含单词“ email”的名称。您不必是火箭科学家,就可以知道该字段可能是电子邮件地址。对于名称,登录ID,地址等而言,它们的工作原理相同。
他们如何确定什么是页面
他们可以向其中的垃圾邮件/输入数据并
什么不是?
他们不在乎。自动化工具可以在很短的时间内免费试用多种表格,而几乎不费吹灰之力。当涉及到人工时,他们可以成为“脚本小子”,并尝试使用显而易见的方法来查看是否得到任何表明该形式可能脆弱的响应。基本上,任何形式都是潜在的目标,就像接受用户输入的任何页面一样。
论坛垃圾邮件如何运作?
他们是否甚至完全“查看”此页面? ..如果没有,那么我认为它们是
直接与服务器通信
-怎么-这可能吗?他们是怎么做到的?
塞子从哪里来?坐在电脑后面的某人在看着他们的机器人在一个站点到另一个站点销毁时窃笑吗?还是他们只是因为以某种方式将其“释放”到互联网上而在窃笑?垃圾邮件是否由受感染的计算机“运行”在某处?他们会自我复制吗?
这都是自动化的。诸如xrumer之类的工具可以制造和销售,并且具有利用已知漏洞利用软件的能力。任何人都可以购买它,设置它之后,它或多或少会引起火灾而忘记了。它会访问列表中的每个论坛,并尽其所能向其发送垃圾邮件。仅仅由于蛮力,它对于垃圾邮件发送者来说是成功的,值得这样做。这就是为什么他们永不停止。他们只需要松开手指即可工作。
论坛的垃圾邮件发送程序可以打破验证码吗?他们可以解决逻辑问题吗(怎么办?)?数学问题?
是的,但并非总是如此。取决于其实施的良好程度。但是,许多验证码,包括大公司提供的验证码,遭到了殴打,实际上没有用。这就是为什么需要多种形式的保护来阻止它们的原因。即使这样,人类通常也可以击败任何系统。
什么技术仍然有效地防止它们?
答:您可以做几件事情(应该做更多然后做一件),包括:
1)放置一个只有机器人才能看到的假字段。然后,如果该字段与表单的其余部分一起提交,则可以忽略它(并根据需要禁止它们)。您还可以捕获遵循隐藏链接的恶意机器人。
2)使用CAPATCHA,例如reCAPTCHA
3)使用要求用户回答5 + 3之类的问题的字段。任何人都可以回答该问题,但由于它会根据字段名称自动填充字段,因此机器人不知道该怎么办。因此该字段将不正确或会丢失,在这种情况下,提交将被拒绝。
4)使用令牌并将其放入会话中,并将其添加到表单中。如果令牌未与表单一起提交或与表单不匹配,则它将自动执行并且可以忽略。
5)寻找来自同一IP地址的重复提交。如果您的表单不会收到太多请求,但是突然有可能它被机器人击中,则应考虑暂时阻止IP地址。
6)使用Akismet。非常适合识别垃圾邮件。
#2 楼
论坛Spambot如何工作?
有才华的(如果是邪恶的)程序员编写它们-各种各样的Spambot种类和人们编写的种类一样多,但是不幸的是,只需几个spambot作者共享并出售他们的作品即可破坏管理员的生活...
一个流行的论坛垃圾邮件应用程序称为“ xrumer”。
我意识到但这并不能回答您的所有问题,我认为值得一提的是,机器人无法做的任何事情(例如解决复杂的非静态逻辑问题)都可以由海外低薪工人完成。垃圾邮件是一项与其他任何事情一样的业务,并且不乏廉价劳动力将垃圾邮件发送到那里。
评论
我感觉就像只是看着一头肉厂正在加工的母牛。但是内容丰富。
–rlb.usa
2010-10-6 21:37
有趣的视频,有趣的是它是圣诞节前夕。日期是2006年12月25日12:15 ... :-)
–错误
2010-10-19 18:48
阿克!显然不是那么有才华。。。这个程序使我想起了FriendBlaster(我们以前在工作中使用它-我反对它,但是老板不听)。我毫不怀疑作者投入该程序的时间和精力。但是,老实说,没有什么执行起来很难实现(在FriendBlaster的情况下实现起来很差)。骇人听闻的是,黑客和安全研究人员在漏洞发布后几周内开发了攻击并破坏了DRM方案。
–Lèsemajesté
2011年1月20日在1:04
#3 楼
我为WordPress创建了反垃圾邮件插件,它在没有Captcha或其他任何内容的情况下可以很好地阻止垃圾邮件。如何工作:
两个额外的字段添加到注释表单。首先是有关本年度的问题。第二个应该是空的。如果用户访问站点,则第一个字段将自动使用javascript回答,第二个字段留空,并且两个字段对于用户都是隐藏和不可见的。如果垃圾邮件发送者尝试提交评论表单,则他将在第一个字段上回答错误或尝试提交空白字段,垃圾邮件评论将被拒绝。
用户无需输入验证码或其他任何证明即可不是机器人,一切都是由javascript制作的。
您可以下载插件,并使用该代码解决您网站上的垃圾邮件问题。
评论
因此,您的用户需要javascript才能注册?那是可访问性的损失,对吗?
–奥古斯丁·里丁格(Augustin Riedinger)
2014年7月21日在13:26
@AugustinRiedinger具有禁用的javascript的反垃圾邮件插件的作用类似于简单的captha方法。大约有不到2%的用户禁用了javascript。
– webvitaly
2014年7月21日在18:19
您是说要在这种情况下显示验证码,对不对?我知道那里的用户很少,但是我在考虑最佳实践。虽然阅读有趣的事情。
–奥古斯丁·里丁格(Augustin Riedinger)
2014年7月22日在10:28
@AugustinRiedinger是的,如果用户禁用了javascript,我会显示类似有关今年的验证码的问题。
– webvitaly
2014年7月22日在20:12
#4 楼
当试图击败他们时,我要记住的一件事是,它们的目的通常是为了尽可能多地发布指向黑帽SEO利益的网站链接。他们关心获得访问的网站数量,而不是您的站点。只是想只向您的网站发送垃圾邮件的人就可以简单地注册,而无需使用机器人。答案)几乎总是比对任何可能会明智的预先编写的机器人更有效地对付机器人。数百万种形式的垃圾邮件。如果它破解了一个定制测试,那么它将只能访问一个网站,因此没有自动的垃圾邮件机器人会费心这样做。
要使用的良好数据(例如,要阻止的关键字和ips)
评论
+1为彻底的答案。我遇到了垃圾邮件问题,并实现了隐藏的表单元素,并将其命名为“ email” /“ mail”,并将真实的电子邮件地址输入命名为“ address”。不再有垃圾邮件!
–mar10
2010-10-18 23:18
关于如何处理巨魔的好帖子(对于垃圾邮件专家而言,想法是相同的):codinghorror.com/blog/2011/06/suspension-ban-or-hellban.html。
–ercpe
2012年7月30日13:35
对于验证码,取决于他们使用什么工具来击败它们。有些软件程序有时(但不总是)通过验证码,然后有些服务使用廉价劳动力来解决验证码,并且这些程序具有较高的成功率。
– ub3rst4r
2012年12月31日在19:09