查看: 330|回复: 2

关于论坛的anti-spam机制

[复制链接]
发表于 2019-7-21 12:59 | 显示全部楼层 |阅读模式
一直以来都觉得论坛的spam对策基本上效果不大,今天终于闲来无事试了一下,果然发现存在一些问题。

现行的anti-spam机制(个人测试,不一定对):
1、新用户注册600分钟内禁止发言
2、禁止同一IP短时间连续注册
3、关键词屏蔽(以前有,现在也大概有)
4、禁言、禁止访问(事后措施)
5、注册时的问答验证

现行机制存在的问题:
1、2 对SPAM软件来说没有影响。

3、容易误伤一般网友
4、主要依靠事后举报人工处理,夜间时段无人值守易被攻破。
其他:

※Discuz系统自身存在的漏洞等问题,且现在官方维护频率远不如前。
5、注册阶段存在的问题

i)论坛注册有E-mail一项,但如下图所示,输入任意的xxx@xxx.xxx形字符即可通过,且无邮箱验证要求

1.png
ii) 2.png
如上图所示,有针对SPAM软件恶意注册设置的验证问答,但验证问答仅有一问并可简单绕过(新站注册)
至于新站的注册,则更为简单。
a. 3.png
如上图所示,与论坛同样,只要在邮箱一栏输入xxx@xxx.xxx形式的字符即可通过,且无邮箱验证要求
b. 4.png
如图所示,任何人都能轻松辨识的英文字符,对于OCR软件来说更是不在话下


网站安全相关:https与http混在,存在安全性问题。


建议:
I 新站和论坛都引入邮箱验证,不通过邮箱验证不允许发言
II 多设置几个验证问答,随机出题;禁止采用通过新站注册等方式绕过验证问答。(这种问题答不出来的人说实在也没有必要注册百合会)
III 增强新站注册验证码难度,加大OCR识读的难度。
IV 增强网站安全性


暂时想到这些,不是太了解discuz的动作机制,有什么不对的地方欢迎批评指正


评分

参与人数 3积分 +108 收起 理由
bori + 5 感謝大大
筱林透 + 100 总之先加分!
坟头纳彩 + 3 我很赞同

查看全部评分

回复

使用道具 举报

发表于 2019-7-22 01:08 | 显示全部楼层
……感谢指出问题,论坛邮箱没有验证似乎主要是之前服务器接收问题,一旦开启验证,就有很多人收不到邮件……所以迟迟没有敢开启!如果你有这个方面的处理经验,可以私信联系我,我们会予以配合!
回复

使用道具 举报

发表于 2019-7-22 09:37 | 显示全部楼层
我研究了一下:HTTPS/HTTP混合出现,是因为里面有个噗浪的域(这个域名同时存在HTTP/HTTPS)。
QQ图片20190722093402.png
至于发送邮件的问题,我个人猜测是Discuz! X3.3的Bug(主站可以发送邮件进行恢复密码的操作;因为主站和论坛都在同一个IP上,姑且认为都在同一台服务器上)。
验证码方面,建议用 https://www.vaptcha.com/ 这家的验证码,极验验证码已经有对应的破解方案了。
另外,服务器安全性也存在问题:NTP服务端口是开启的,当然解决方法也很简单,一行防火墙规则(拒绝123端口的入站)就可以了。
更多的东西……等我再研究一会。

评分

参与人数 1积分 +100 收起 理由
筱林透 + 100 总之先加分!

查看全部评分

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 成为会员

本版积分规则

小黑屋|手机版|Archiver|百合会 ( 苏公网安备 32030302000123号 )简体字切换

GMT+8, 2019-8-24 11:26 , Processed in 0.046181 second(s), 18 queries , Gzip On.

Powered by Discuz! X3.3 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表