我們正在使用垃圾郵件機器人對其中一個相當大的網站發佈問題。看起來機器人正在創建用戶帳戶,然後發佈導致各種垃圾郵件鏈接的日記條目。防止垃圾郵件機器人在現場?
看來他們以某種方式繞過我們的驗證碼 - 無論是已被破解,或他們正在使用另一種方法來創建帳戶。
我們希望爲帳戶啓用電子郵件激活,但我們距離實施此類更改大約一週(由於繁忙的日程安排)。
但是,如果他們在網站某處使用SQL漏洞並執行整個跨站點腳本的事情,我不覺得這樣做會是不夠的。所以我的問題給你:
如果他們正在使用某種XSS漏洞,我怎麼能找到它?我儘可能地保證聲明的安全,但是,它又是一個相當大的站點,需要我花一些時間主動清理SQL語句以防止XSS。你能推薦什麼來幫助我們的情況?
您的驗證碼是如何實現的以及用戶已成功完成它的事實標記?我的意思是,我認爲這不僅僅是POST中的「captchaokay = 1」參數。 :-)您是否使用了像[reCAPTCHA](http://recaptcha.net/)或類似的經過驗證的驗證碼解決方案? – 2010-03-12 15:14:21
現在使用Securimage Captcha(http://www.phpcaptcha.org/),但當然不反對切換到reCAPTCHA。 – Mike 2010-03-12 15:20:49