Jump to content

Ботоустойчивость Яваскриптовой Формы

Veseloff

By Veseloff,
in Flame

 Share

Recommended Posts

Veseloff Explorer

Veseloff

Posted
Posted

Форма заявки или отправки сообщения на сайте — вещь весьма распостранённая и нужная. Я её делаю припомощи яваскрипта, т.е. отправляются данные из неё аяксом в некий скрипт, который уже даелает с этой заявкой всё, что душе угодно (отправляет в почту, сохраняет в базу...) Так вот возник небольшой спор по поводу необходимости каптчи. Мне кажется, что бот засылает всё постом в скрипт, указанный в параметре action. У меня там указана любая страница, но если на неё сабмитнуть эту форму, то ничего не произойдёт. Кто-нибудь сталкивался с тем, что бот «умеет яваскрипты»? То есть насколько устойчива эта форма без каптчи? Пока что ничего спамного не приходило, но сайты, на которые ставилась эта разновидность формы, тоже не особо крутые так что уверенности на 100% нет.

Link to comment
Share on other sites
Vlad Explorer

Vlad

Posted
Posted

У меня на одном сайте стоит аяксовая форма комментария. За три года ни одного спама не было ни разу, хотя форма открытая, комментарии могут постить любые желающие.

Link to comment
Share on other sites
Searcher Explorer

Searcher

Posted
Posted
Форма заявки или отправки сообщения на сайте — вещь весьма распостранённая и нужная. Я её делаю припомощи яваскрипта, т.е. отправляются данные из неё аяксом в некий скрипт, который уже даелает с этой заявкой всё, что душе угодно (отправляет в почту, сохраняет в базу...) Так вот возник небольшой спор по поводу необходимости каптчи. Мне кажется, что бот засылает всё постом в скрипт, указанный в параметре action. У меня там указана любая страница, но если на неё сабмитнуть эту форму, то ничего не произойдёт. Кто-нибудь сталкивался с тем, что бот «умеет яваскрипты»? То есть насколько устойчива эта форма без каптчи? Пока что ничего спамного не приходило, но сайты, на которые ставилась эта разновидность формы, тоже не особо крутые так что уверенности на 100% нет.

Если нестандартно назвать имена полей и в скрипте разбирать их по содержимому с повторными запросами при несовпадении, то риск спама значительно уменьшается. Не слышал, что бот «умеет яваскрипты»... Но все течет, все совершенствуется. А если какой-то бот откорректируют ручками, то завалят спамом за несколько секунд. Так что капча - не лишняя, а угадать её значение - нереально. Можно попытаться прочесть графику, как некоторые боты делают, но качественную капчу так не прочтешь. Есть и другие дырки, но опять таки, тут требуется вмешательство в код бота или непосредственный взлом сайта ручками.

Link to comment
Share on other sites
Veseloff Explorer

Veseloff

Posted
  • Author
Posted
Если нестандартно назвать имена полей и в скрипте разбирать их по содержимому с повторными запросами при несовпадении, то риск спама значительно уменьшается. Не слышал, что бот «умеет яваскрипты»... Но все течет, все совершенствуется. А если какой-то бот откорректируют ручками, то завалят спамом за несколько секунд. Так что капча - не лишняя, а угадать её значение - нереально. Можно попытаться прочесть графику, как некоторые боты делают, но качественную капчу так не прочтешь. Есть и другие дырки, но опять таки, тут требуется вмешательство в код бота или непосредственный взлом сайта ручками.

Ну вот когда бота ручками подправят, тогда я и форму поправлю. :) Меня интересует то, как сейчас обстоят дела. Еще, ктсати, фишка используется одна — в форме есть пара полей (напрмер, с названиями «name» и «url»), они находятся в блоке с display: none, пользователям, само собой, не видны, и, если хоть одна из них заполнена, то это однозначно бот и мессагу можно резать. Весьма эффективный метод, надо сказать.

Link to comment
Share on other sites
Searcher Explorer

Searcher

Posted
Posted
Ну вот когда бота ручками подправят, тогда я и форму поправлю. :) Меня интересует то, как сейчас обстоят дела. Еще, ктсати, фишка используется одна — в форме есть пара полей (напрмер, с названиями «name» и «url»), они находятся в блоке с display: none, пользователям, само собой, не видны, и, если хоть одна из них заполнена, то это однозначно бот и мессагу можно резать. Весьма эффективный метод, надо сказать.

У меня по жизни ломятся боты, но капчу не вскрывали. Со скрытыми полями - хорошая штука!

Link to comment
Share on other sites
s0rr0w Explorer

s0rr0w

Posted
Posted
Так это же первое правило безопасности - проверять все данные на сервере! Отличить же бота от человека по введенным данным легко, вариантов много.

Ухты! Поведай дао! :)

Link to comment
Share on other sites
Veseloff Explorer

Veseloff

Posted
  • Author
Posted
...указанный в параметре action. У меня там указана любая страница, но если на неё сабмитнуть эту форму, то ничего не произойдёт.

У меня всё работает через другой скрипт, не тот, который в action указан. Это понятно, что можно сабмитнуть напрямую. Просто насколько обучены боты узнавать УРЛ, который написан вне формы, где-то в яваскриптовой функции в виде $.post('some_dir/order.php')? Вот я к чему вопрос задавал.

Link to comment
Share on other sites
s0rr0w Explorer

s0rr0w

Posted
Posted
У меня всё работает через другой скрипт, не тот, который в action указан. Это понятно, что можно сабмитнуть напрямую. Просто насколько обучены боты узнавать УРЛ, который написан вне формы, где-то в яваскриптовой функции в виде $.post('some_dir/order.php')? Вот я к чему вопрос задавал.

Боты люди пишут. Боту добавляешь ручками нужный урл и нужный пост-запрос, и все.

Просто некоторые сайты как неуловимые Джо. Неуловимые, потому что никому не нужны.

Link to comment
Share on other sites
stars Explorer

stars

Posted
Posted (edited)
У меня всё работает через другой скрипт, не тот, который в action указан. Это понятно, что можно сабмитнуть напрямую. Просто насколько обучены боты узнавать УРЛ, который написан вне формы, где-то в яваскриптовой функции в виде $.post('some_dir/order.php')? Вот я к чему вопрос задавал.

Боты же не сами заходят на твой сайт ищют форму и т.д.

По опыту атаки форума одного могу сказать что все реально просто когда ты это уже проделывал, все что нужно это лист с прокси серверами(на тот случай когда после нескольких попыток тебя отсекают), нужен вэбмани )) для платных распозновалок капчи, а дальше запускается небольшая программка она работает в режиме записи, записывает все твои действия (С какой страницы начинать, какие поля заполнять, причем поля для заполнения могут запоминаться как по любым атрибутам name id и т.д. можно просто выискивать по счету их) далее он запоминает вводимую информацию ее можно ставить как строгой так диапазонной или запрашиваемой откуда-то еще... В общем на самом деле программы очень продвинутые и уж найти в DOM необходимые поля не какой трудности не составит и не какой хайд не будет забиваться... Реальная сложность для такой программы это решать логические операции, тот же самый вопрос ответ она не преодолеет(но на этот случай программа может запоминать в каком элементе текст дальше для определенных текстов прописываются ответы, если в базе у вас 10 вопросов ботовода это не остановит ))) Как только запись окончена программку запускают на воспроизведение(выставляют интервалы)... На кнопки она кстати тоже умеет нажимать.

Edited by stars
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy

  I accept