PDA

View Full Version : ایا این رورش بدون استفاده از کپتچا امن هستش؟


saeed-71
شنبه 06 دی 1393, 17:21 عصر
سلام.
فرض کنید پنجره پا اپ داریم که اطلاعات رو تو دیتابیس به روش ایجکس چک میکنم.ایا با این روش هم نیار به کپتچا هست؟!
Unique
شنبه 06 دی 1393, 18:52 عصر
captcha کلا زمانی نیازه که بیم این میره یک رباط به صورت دینامیک اطلاعات نام معتبری را از طریق یک فرم ارسال کنه ! مثلا با یک فرم contact که captcha نداره میشه کاری کرد که inbox پر بشه. یا توی فرم ثبت نامی که captcha نداره مثلا ۱۰۰۰۰۰۰ ثبت نام الکی انجام بدیم.
ostadsho
شنبه 06 دی 1393, 19:38 عصر
هرجا که داده های ورودی داره از کاربر دریافت میشه و توی یه کوئری قرار می گیره باید کپچا باشه،چه با ajax چه با php فرق نداره.چون جلوی اسپم اطلاعات بیخودی و به دفعات زیاد رو توسط روبات ها، می گیره.
id1385
شنبه 06 دی 1393, 23:09 عصر
اینم یه روشه که من توی یکی از سایتها استفاده کردم :چشمک:
hamedarian2009
شنبه 06 دی 1393, 23:43 عصر
اینم یه روشه که من توی یکی از سایتها استفاده کردم :چشمک:

این نمیتونه روش خوبی باشه چون میتونه ربات هر 5 دقیقه یکبار اسپم رو ارسال کنه اما کپچا در حال حاضر بهترین راهه
id1385
یک شنبه 07 دی 1393, 00:15 صبح
این نمیتونه روش خوبی باشه چون میتونه ربات هر 5 دقیقه یکبار اسپم رو ارسال کنه اما کپچا در حال حاضر بهترین راهه

خب انقدم که ساده به نظر میرسه نیست، چون اون ور فقط پستی رو قبول میکنه که از یه صفحه شناخته شده ارسال شده باشه، پستهای خارج از سایت رو هم به هیچ وجه قبول نمیکنه :شیطان:
Unique
یک شنبه 07 دی 1393, 02:08 صبح
هرجا که داده های ورودی داره از کاربر دریافت میشه و توی یه کوئری قرار می گیره باید کپچا باشه،چه با ajax چه با php فرق نداره.چون جلوی اسپم اطلاعات بیخودی و به دفعات زیاد رو توسط روبات ها، می گیره.

البته ربطی به بودن یا نبودن توی query نداره و ممکنه اطلاعات ایمیل بشه یا توی فایل ذخیره بشه یا هر چی !


خب انقدم که ساده به نظر میرسه نیست، چون اون ور فقط پستی رو قبول میکنه که از یه صفحه شناخته شده ارسال شده باشه، پستهای خارج از سایت رو هم به هیچ وجه قبول نمیکنه

کل اطلاعاتی که از سمت کلاینت میره را میشه دستکاری کرد و این روش شما هیچ امنیتی نداره.
id1385
یک شنبه 07 دی 1393, 09:49 صبح
ببخشید شاید اسپم حساب بشه، ولی برای یادگیری خیلی خوبه
بهترین روش یادگیری توی دانشگاهها هم همین روش مباحثه هستش که حتی روش حوزه هم همین شکلی است.
پس اگه احساس کردید که اسپمه من عذر میخوام





کل اطلاعاتی که از سمت کلاینت میره را میشه دستکاری کرد و این روش شما هیچ امنیتی نداره.


فرمایش شما درسته، ولی از نظر من این مورد یعنی این مورد بخصوص این شکلی پاسخگو هستش
بعدشم تو همین فرم اولین چیزی که سمت سرور بررسی میشه یک رشته هستش، اگه ربات تونست این رشته رو به صورت صحیح تولید کنه بله اون موقع می تونه اسپم هم بفرسته، ولی اگه سه بار فرستاد و نتونست درست حدس بزنه که چیه، بلاک میشه.

رشته ای که باید درست کنه :


424d356535443275774c73716f4d734a434a695a462d4c616c 62797a7842724c4c6d4a765f674a47446a59


اینم جایی که استفاده شده :


<div class="comments comment_form main_editor" data-token="424d356535443275774c73716f4d734a434a695a462d4c616c 62797a7842724c4c6d4a765f674a47446a59" data-rel="594c796636434d787443447476746b715f433657516c6b6a66 78504d5578357778465f7965694561507855"><input type="text" class="text author"


منتظر نظراتتون هستم
موفق باشید
us1234
یک شنبه 07 دی 1393, 20:04 عصر
ببخشید شاید اسپم حساب بشه، ولی برای یادگیری خیلی خوبه
بهترین روش یادگیری توی دانشگاهها هم همین روش مباحثه هستش که حتی روش حوزه هم همین شکلی است.
پس اگه احساس کردید که اسپمه من عذر میخوام




فرمایش شما درسته، ولی از نظر من این مورد یعنی این مورد بخصوص این شکلی پاسخگو هستش
بعدشم تو همین فرم اولین چیزی که سمت سرور بررسی میشه یک رشته هستش، اگه ربات تونست این رشته رو به صورت صحیح تولید کنه بله اون موقع می تونه اسپم هم بفرسته، ولی اگه سه بار فرستاد و نتونست درست حدس بزنه که چیه، بلاک میشه.

رشته ای که باید درست کنه :


424d356535443275774c73716f4d734a434a695a462d4c616c 62797a7842724c4c6d4a765f674a47446a59


اینم جایی که استفاده شده :


<div class="comments comment_form main_editor" data-token="424d356535443275774c73716f4d734a434a695a462d4c616c 62797a7842724c4c6d4a765f674a47446a59" data-rel="594c796636434d787443447476746b715f433657516c6b6a66 78504d5578357778465f7965694561507855"><input type="text" class="text author"


منتظر نظراتتون هستم
موفق باشید

نیاز به ساختن مشابه نیست .
ربات همین رشته را پیدا می کنه با سیشن و کوکی های که ست کردی پست می کنه .
الگوریتم شما فقط در صورتی که با 1 آی پی خاص کار کنه امنه . مثلا بگید آی پی یوزر اگر غیر از 8.8.8.8 بود اطلاعات را نگیر ، وگرنه در هر شرایط دیگه بدون کپتچا میشه ربات ساخت .
Unique
دوشنبه 08 دی 1393, 00:59 صبح
پست شما اسپم نیست و همین مباحث هست که باعث یادگیری میشه.
captcha به این دلیل مشکل را حل میکنه که مقدارش از روی عکس معملوم میشه و توی صفحه فقط یک reference به مقدار روی سرور که حالا توی session یا database ذخیره شده وجود داره.
اینطور که من از صحب های شم امتوجه شدم کاربر نیاز نیست با گوش یا چشم یا حواسی که مربوط به انسان هست چیزی را ارسال کنه و شما token خاصی را با توجه به اطلاعات کاربر تولید و ارسال میکنید ! در این میان کاربر هیچ دخالتی نداره و قطعا شما هم اون token را جایی از صفحه برای ارسال مجدد میگذارین. کافیه کد مخرب token را از صفحه شما در بیاره و براتون ارسال کنه ، همین.

مشکل کار مشا اینجاست که هیچ عامل وابسته به انسان وجود نداره و در نتیجه قابل نفوذه !
شما یک فرم ساده ذخیره نام به این روش درست کنید تا من یا دوستان براتون اسپم بفرستیم.
ostadsho
دوشنبه 08 دی 1393, 15:48 عصر
[QUOTE=Unique;2153377]البته ربطی به بودن یا نبودن توی query نداره و ممکنه اطلاعات ایمیل بشه یا توی فایل ذخیره بشه یا هر چی !


بدون اینکه کوئری توی صفحه وجود داشته باشه تقریبا میشه گفت غیرممکنه که کسی بتونه به دیتابیس لطمه بزنه.البته چک کردن ورودی ها قطعا کار معقولیه، اون هم سمت سرور، اما خب اصل و مهم تر اون جاهاییه که داده ها داره مستقیم میشینه داخل یه کوئری و اونجاست که ممکنه خیلی ساده لطمه بخوریم.
Unique
دوشنبه 08 دی 1393, 16:19 عصر
بدون اینکه کوئری توی صفحه وجود داشته باشه تقریبا میشه گفت غیرممکنه که کسی بتونه به دیتابیس لطمه بزنه.البته چک کردن ورودی ها قطعا کار معقولیه، اون هم سمت سرور، اما خب اصل و مهم تر اون جاهاییه که داده ها داره مستقیم میشینه داخل یه کوئری و اونجاست که ممکنه خیلی ساده لطمه بخوریم.

بحث captcha در مورد لطمه به database نیست ! همونطور که گفتم ممکنه شما فرمی داشته باسین که یکسری اطلاعات را ایمیل میکنه و کاری هم با database نداره و اگه از captcha استفاده نکنید. یک اسپمر میتونه تعداد زیادی ایمیل را از اون فرم ارسال کنه که و inbox شما را داغون کنه.