我们正在使用垃圾邮件机器人对其中一个相当大的网站发布问题。看起来机器人正在创建用户帐户,然后发布导致各种垃圾邮件链接的日记条目。防止垃圾邮件机器人在现场?
看来他们以某种方式绕过我们的验证码 - 无论是已被破解,或他们正在使用另一种方法来创建帐户。
我们希望为帐户启用电子邮件激活,但我们距离实施此类更改大约一周(由于繁忙的日程安排)。
但是,如果他们在网站某处使用SQL漏洞并执行整个跨站点脚本的事情,我不觉得这样做会是不够的。所以我的问题给你:
如果他们正在使用某种XSS漏洞,我怎么能找到它?我尽可能地保证声明的安全,但是,它又是一个相当大的站点,需要我花一些时间主动清理SQL语句以防止XSS。你能推荐什么来帮助我们的情况?
您的验证码是如何实现的以及用户已成功完成它的事实标记?我的意思是,我认为这不仅仅是POST中的“captchaokay = 1”参数。 :-)您是否使用了像[reCAPTCHA](http://recaptcha.net/)或类似的经过验证的验证码解决方案? – 2010-03-12 15:14:21
现在使用Securimage Captcha(http://www.phpcaptcha.org/),但当然不反对切换到reCAPTCHA。 – Mike 2010-03-12 15:20:49