PDA

View Full Version : سوال: راهی برای جلوگیری از ورود به سایت با توایع curl هست ؟


blue.web9
دوشنبه 10 اسفند 1394, 18:54 عصر
سلام...
از اونجایی که تمام تمام header ها رو میشه با curl تنظیم کرد میخواستم بدونم راهی هست تا کسی با توابع curl وارد سایت نشه؟؟
در حقیقت نمیخوام اجازه بدم کسی با توابع curl فایل آپلود کنه..(به دلیل راحتی کاربر نمیخوام از کپچا استفاده کنم)
mojooriass
پنج شنبه 13 اسفند 1394, 07:26 صبح
از طریق برنامه فکر نمیکنم راهی باشه و در کل هم پا کردن صورت مسئله راه درستی نیست شما با کمک روشی که برای جلوگیری از حملات csrf هست به راحتی میتوانید جلوی ارسال در خواست از هر جایی غیر از سایت را کنترل کنید داخل انجمن یه سرچ راجب حملات csrf بکنید چیز های زیادی پیدا میکنید.
blue.web9
پنج شنبه 13 اسفند 1394, 09:27 صبح
از طریق برنامه فکر نمیکنم راهی باشه و در کل هم پا کردن صورت مسئله راه درستی نیست شما با کمک روشی که برای جلوگیری از حملات csrf هست به راحتی میتوانید جلوی ارسال در خواست از هر جایی غیر از سایت را کنترل کنید داخل انجمن یه سرچ راجب حملات csrf بکنید چیز های زیادی پیدا میکنید.

جلو csrf گرفتم.مشکلم اینه نمیخوام کسی با curl وارد سایت بشه و پشت سر هم فایل آپلود کنه ؟؟یعنی داخل حلقه بزاره و فایل ارسال بشه و تو سایت آپلود بشه.
us1234
پنج شنبه 13 اسفند 1394, 10:56 صبح
از سرویس cloudflare استفاده کنید .

در تب سکیورتی بالاترین مد را انتخاب کنید .
در این حالت اگر مرورگر کاربر به درستی شناسایی نشد صفحه لود با جاوا اسکریپت برای کاربر میاد ، یک صفحه 5 ثانیه ای که جاوا اسکریپت چک میشه و بعد سایت باز میشه
اگر باز این مرحله تحت ریکویست های زیاد قرار گرفت یک صفحه با کد کپتچا تصویری ( فقط برای درخواست دهنده نه همه ) لود میشه که باید کپتچا صحیح را وارد کنه تا وارد سایت شود ...
plague
پنج شنبه 13 اسفند 1394, 13:22 عصر
معمولا از طریق چک کردن هدر ها جلوی ربات رو میشه گرفت ...
ولی حقیقت اینه که برنامه نویس یکم باهوش باشه میتونه همه هدر ها رو جعل کنه با curl

یه بازدید کننده معمولی برای آپلود فایل میاد تو صفحه فرم آپلود شما فایل رو انتخاب میکنه از کامپیوترش و دکمه آپلود رو میزنه سپس به اسکریپت php فرستاده میشه تا عمل آپلود رو انجام بده

یعنی 2 مرحله حداقل

ربات curl میاد مرحله اول رو نادیده میگیره مستقیم اسکریپت php رو هدف میگیره و داده ها رو براش میفرسته
کافیه شما راهکاری پیدا کنید که فقط فایل هایی که از فرم سایت شما ارسال میشن آپلود بشه
به قول این دوستمون روش کار همون روش جلوگیری از حملات csrf هستش
Unique
جمعه 14 اسفند 1394, 18:14 عصر
دوست عزیز هیچ روشی غیر از استفاده از captcha وجود نداره ! راهنمایی های دوستان کار را برای شخص دور زننده مشکل میکنه اما غیر ممکن نمیکنه. به راحتی میشه با کمی خلاقیت اسکریپت را جای مرورگر جا بزنیم ! شما میتونید محدودیت ارسال در روز یا حجم در روز بگذارین و محدودیت های دیگه.