スパム ボットを含むかなり大規模な Web サイトの 1 つで問題が発生しています。ボットはユーザー アカウントを作成し、さまざまなスパム リンクにつながるジャーナル エントリを投稿しているようです。
どうやら彼らは私たちのキャプチャを迂回しているようです。それがクラックされているか、アカウントを作成するために別の方法を使用しているようです。
アカウントの電子メールによる有効化を検討していますが、(多忙なスケジュールのため) そのような変更の実装には約 1 週間かかります。
ただし、サイトのどこかで SQL エクスプロイトを使用し、クロスサイト スクリプティング全体を実行している場合、これでは十分ではないと思います。だからあなたへの私の質問:
彼らがある種の XSS エクスプロイトを使用している場合、どうすればそれを見つけることができますか? 可能な限りステートメントを保護していますが、かなり大きなサイトであり、XSS を防ぐために SQL ステートメントを積極的にクリーンアップするにはしばらく時間がかかります。私たちの状況を助けるために何かお勧めできますか?
1) 上で述べたように、 reCAPTCHAは良い出発点です。
2) Askimetは、スパムが公開される前にフラグを立てる優れた方法です。これは、Wordpress がスパムを阻止するために使用するものであり、非常に効果的です。その後、結果に基づいてモデレートのためにエントリを拒否またはキューに入れることができます。APIも非常に使いやすいです。(必要に応じてPHPコードを用意しています)。無料版を使用して開始できると確信していますが、商用ライセンスが必要になる場合があります。
3) 多くのスパマーが持っていない有効な電子メール アカウントが必要なため、電子メール アドレスの検証は間違いなく良い考えです。メールアドレスの確認を簡単にするようにしてください。難しすぎると、正規のユーザーも離れてしまう可能性があります。
ボットがスクリプトの穴をどこかで悪用していた場合、ログにその証拠があるはずです。ヒット前に通常の「通常の」サーフィンアクティビティを行わずに、ユーザー作成スクリプトとジャーナルエントリ作成スクリプトへの直接POSTを確認します。ボットがサイトを1回だけトローリングし、フォームをプルダウンして入力するふりをするステップをバイパスしている可能性があります。クエリ文字列に明らかなXSSタイプのデータが含まれるGETリクエストを探します。
また、フォーム内の非表示フィールドにランダムトークンを埋め込み、アクティベーション/投稿を実行するためにそのトークンが存在することを要求することもできます。ボットがサインアップスクリプトを1回だけ解析し、直接投稿を行っている場合、ボットの作成者がトークンをキャッチして探すまで、ボットはトラックで停止します。しかし、それはあなたに、より良いシステムを実装するためのいくらかの呼吸スペースを与えるでしょう。
ユーザーアカウントテーブルに作成時のタイムスタンプのようなものがない場合は、それを挿入して、ユーザースクリプトではなく、サーバーにタイムスタンプを作成させます。このようにして、期間を絞り込んでボットアクティビティのログをスキャンし、ボットが何をしているかを確認できます。そして、他に何もなければ、ボットが投稿しているIPをブロックすることができます。
誰かが Akismet にアドバイスできて、それが回答として受け入れられたことに驚いています。