artmuza 0 Опубликовано: 21 марта 2018 Рассказать Опубликовано: 21 марта 2018 Добрый день, недавно заметил, что на сайте стали появляться новые пользователи, хотя регистрации, как таковой, на сайте нет. Погуглил по именам пользователей (WurkaTussa, Vayzorooz), нашлось очень много профилей на форумах. Такое ощущение, что с помощью какого-то скрипта регистрируются сотни аккаунтов на разных сайтах на движке DLE(но это неточно). Куда писать, что делать? Повторюсь, регистрации на моем сайте (artmuza.spb.ru) нет. То есть человек с улицы не может зарегаться... Как закрыть уязвимость? Спасибо заранее. Цитата Ссылка на сообщение Поделиться на других сайтах
SN74 5 Опубликовано: 21 марта 2018 Рассказать Опубликовано: 21 марта 2018 У DLE нельзя выключить чисто регистрацию, можно только выключить вообще всех пользователей на сайте. Как запрещена регистрация? Просто в шаблоне? Антивирусом сканировали уже DLE? Сторонние модули? Информации от вас пока что почти что 0. Цитата Ссылка на сообщение Поделиться на других сайтах
artmuza 0 Опубликовано: 21 марта 2018 Рассказать Опубликовано: 21 марта 2018 Автор Я, к сожалению, не разработчик, только контент-менеджер Разработчик сгинул, вроде никаких сторонних модулей нету, скорей всего разрабы правили только основные шаблоны. Версия 9 с чем-то. Страницы регистрации просто нет (либо я не знаю, что она есть). Также просто удалены шаблоны /userinfo.tpl. Не понятно вообще, как можно зарегаться на моем сайте. Эта ерунда началась в феврале и судя по поиску гугла (ссылки в тексте темы) не у меня одного. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 21 марта 2018 Рассказать Опубликовано: 21 марта 2018 42 минуты назад, artmuza сказал: Как закрыть уязвимость? То что вы удалили что то из шаблона, не мешает ботам регистрироваться и напрямую отправлять данные на сервер. Боты страниц и форм на сайте не заполняют, это делают только люди. Регистрацию нужно отключать в настройках скрипта. Отключая либо поддержку регистрации и авторизации, либо устанавливая лимит на количество зарегистрированных, например 1. Т.к. админ есть в любом случае, то больше зарегистрироваться никто не сможет. Цитата Ссылка на сообщение Поделиться на других сайтах
SN74 5 Опубликовано: 21 марта 2018 Рассказать Опубликовано: 21 марта 2018 1 час назад, celsoft сказал: То что вы удалили что то из шаблона, не мешает ботам регистрироваться и напрямую отправлять данные на сервер. Боты страниц и форм на сайте не заполняют, это делают только люди. Регистрацию нужно отключать в настройках скрипта. Отключая либо поддержку регистрации и авторизации, либо устанавливая лимит на количество зарегистрированных, например 1. Т.к. админ есть в любом случае, то больше зарегистрироваться никто не сможет. Ещё один повод ввести переменную с хешем в hidden на страницу регистрации, и можно будет спокойно закрывать регистрацию шаблоном. 1 час назад, artmuza сказал: Я, к сожалению, не разработчик, только контент-менеджер Разработчик сгинул, вроде никаких сторонних модулей нету, скорей всего разрабы правили только основные шаблоны. Версия 9 с чем-то. Страницы регистрации просто нет (либо я не знаю, что она есть). Также просто удалены шаблоны /userinfo.tpl. Не понятно вообще, как можно зарегаться на моем сайте. Эта ерунда началась в феврале и судя по поиску гугла (ссылки в тексте темы) не у меня одного. Если там 9 версия и разработчик сгинул, не факт что у вас есть все последние заплатки, стоит это проверить. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 22 марта 2018 Рассказать Опубликовано: 22 марта 2018 13 часов назад, SN74 сказал: Ещё один повод ввести переменную с хешем в hidden на страницу регистрации, и можно будет спокойно закрывать регистрацию шаблоном. Это заблуждение. Служебные данные не выводятся в шаблонах их выводит скрипт, и боты их также читают со страницы, независимо от того есть шаблон или нет. Ведь у регистрации есть и ввод каптчи обязательный, а шаблона нет. Это не мешает ботам загрузить отдельно каптчу распознать ее и отправить данные на сервер. Тоже самое про любой hidden элемент, все это элементарно считывается со страницы по паттернам, и отправляется на сервер. Никогда и нигде невозможно закрыть регистрацию только шаблонам, это технически бесполезно. Закрывается регистрация только в настройках, чтобы скрипт попросту отбрасывал и не принимал, присылаемые ему данные. 1 1 Цитата Ссылка на сообщение Поделиться на других сайтах
SN74 5 Опубликовано: 22 марта 2018 Рассказать Опубликовано: 22 марта 2018 5 часов назад, celsoft сказал: Это заблуждение. Служебные данные не выводятся в шаблонах их выводит скрипт, и боты их также читают со страницы, независимо от того есть шаблон или нет. Ведь у регистрации есть и ввод каптчи обязательный, а шаблона нет. Это не мешает ботам загрузить отдельно каптчу распознать ее и отправить данные на сервер. Тоже самое про любой hidden элемент, все это элементарно считывается со страницы по паттернам, и отправляется на сервер. Никогда и нигде невозможно закрыть регистрацию только шаблонам, это технически бесполезно. Закрывается регистрация только в настройках, чтобы скрипт попросту отбрасывал и не принимал, присылаемые ему данные. Если сделать переменную с уникальным хешем прямо в шаблоне, то при закрытии или пустом шаблоне, ботам не откуда будет получить данный хеш, а без него зарегистрироваться не получиться. Уже все более менее нормальные проекты используют защиту от CSRF во всех формах, добавьте его и на страницу регистрации, только шаблонной переменной. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 22 марта 2018 Рассказать Опубликовано: 22 марта 2018 37 минут назад, SN74 сказал: Если сделать переменную с уникальным хешем прямо в шаблоне, то при закрытии или пустом шаблоне, ботам не откуда будет получить данный хеш, а без него зарегистрироваться не получиться. Простите, вы пишите о том чего не знаете, и не знаете как это работает, если для вас уникальная переменная это препятствие, то это не значит что это препятствие на самом деле. Писанина этого в шаблоне не более чем доп. головная боль для того кто делает сайт, и дополнительные трудности в версте шаблона, но никак не препятствие для ботов. Если уж вы об этом пишите, то могли бы догадаться что в DLE есть подобный инструмент, например система вопрос - ответ. Если вы не выводите форму в шаблоне, то не выводите и вопрос, не зная вопроса невозможно его угадать и угадать ответ на него. Что также глупость, потому как есть способ, просто в настройках скрипта отключить регистрацию, чем идти какими то непонятными путями через шаблоны. Автору топика просто банально не сделали шаблон регистрации, потому как видимо сказал что регистрации не будет, и ни от каких ботов как средство защиты у них там в шаблоне и предусматривалось. И не делаются никакие средства защиты средствами шаблонов, это полная ерунда, это не назначения шаблонов, защищать от этого должны скрипты, а не шаблоны. Человек не сделал элементарного действия, отключить ползунок в настройках скрипта, которые на русском ему прямо написаны, а вы начали выдумывать какие то более сложные действия, по внедрению чего то в шаблоны. Самой лучшей защитой, является уникальная для конкретного сайта защита, она может быть простой как три рубля, но главное чтобы она была уникальна, потому как то что будут адаптировать бота, под ваш сайт маловероятно, если вы не известный миллионам ресурс. DLE же это известный коробочный продукт, все алгоритмы по которым он работает моментально вписываются в боты, на следующий день после релиза, поэтому подобная ерунда, о которой вы пишите не действует и не может действовать, это пройденный еще лет 10 назад этап, когда нужно в DLE было вписывать, потом выкинули как неработающее средство и не защищающее средство, только усложняющее людям жизнь. Если использовать только коробочные средства защиты от ботов, то самый эффективный на сегодняшний день из них, это включение рекаптчи, и то не 100 процентный. Его ботам обойти крайне сложно, но есть сервисы, которые дают услуги по этому обходу, зачастую при помощи людей, их обходят. 37 минут назад, SN74 сказал: Уже все более менее нормальные проекты используют защиту от CSRF во всех формах, добавьте его и на страницу регистрации, только шаблонной переменной. Повторюсь еще раз. Опять пишите о том, чего не знаете. Все в DLE есть. Боты работают всегда одним способом. Читают страницу где должна быть форма при этом наличие самой формы им не нужно, и не интересует, берут нужные данные, ваши уникальные поля, их значения, и т.д. и потом отправляют эти данные на сервер, вместе с другими данными. Никакие формы в браузере они не заполняют и не пишут. Вы пишите свои предположения как нужно делать, не зная как это все обходится и как боты работают. Получить значения всех полей, с каким угодно именем и каким угодно значением, это ровно 5 строк кода, если вы не знаете как написать эти 5 строк кода, это не значит что это невозможно и нельзя сделать, и не значит что это хоть как то препятствует. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
artmuza 0 Опубликовано: 22 марта 2018 Рассказать Опубликовано: 22 марта 2018 Автор Спасибо! Ограничил количество пользователей. Удачи! Цитата Ссылка на сообщение Поделиться на других сайтах
SN74 5 Опубликовано: 22 марта 2018 Рассказать Опубликовано: 22 марта 2018 5 часов назад, celsoft сказал: просто в настройках скрипта отключить регистрацию Насколько я помню, это отключит и возможность заходить на сайт под пользователем, а что если нам нужно делать пользователей через админку и что бы они ходили по сайту под собой? Но при этом не давать регистрироваться новым через сайт. 5 часов назад, celsoft сказал: Самой лучшей защитой, является уникальная для конкретного сайта защита, она может быть простой как три рубля, но главное чтобы она была уникальна, потому как то что будут адаптировать бота, под ваш сайт маловероятно, если вы не известный миллионам ресурс. DLE же это известный коробочный продукт, все алгоритмы по которым он работает моментально вписываются в боты, на следующий день после релиза, поэтому подобная ерунда, о которой вы пишите не действует и не может действовать, это пройденный еще лет 10 назад этап, когда нужно в DLE было вписывать, потом выкинули как неработающее средство и не защищающее средство, только усложняющее людям жизнь. Если использовать только коробочные средства защиты от ботов, то самый эффективный на сегодняшний день из них, это включение рекаптчи, и то не 100 процентный. Его ботам обойти крайне сложно, но есть сервисы, которые дают услуги по этому обходу, зачастую при помощи людей, их обходят. Если не откуда взять хеш, то элементарно и нет регистрации бота. Жаль что в шаблонизаторе DLE нет нормальной логики, тогда можно было бы делать очень интересные решения прямо в шаблоне, причём уникальные для каждого сайта. Ну или элементарно шаблонными тегами ограничить регистрацию с 12 до 16 например, опять же имея в шаблоне {user_hash}. Если взять в пример тот же "хвалёный" uCoz, там это можно сделать на шаблонной логике, и никакие боты не пролезут, проверенно, работает. 5 часов назад, celsoft сказал: Повторюсь еще раз. Опять пишите о том, чего не знаете. Все в DLE есть. Боты работают всегда одним способом. Читают страницу где должна быть форма при этом наличие самой формы им не нужно, и не интересует, берут нужные данные, ваши уникальные поля, их значения, и т.д. и потом отправляют эти данные на сервер, вместе с другими данными. Никакие формы в браузере они не заполняют и не пишут. Вы пишите свои предположения как нужно делать, не зная как это все обходится и как боты работают. Получить значения всех полей, с каким угодно именем и каким угодно значением, это ровно 5 строк кода, если вы не знаете как написать эти 5 строк кода, это не значит что это невозможно и нельзя сделать, и не значит что это хоть как то препятствует. Я прекрасно знаю как работают боты. Нет данных на странице (потому что они порезаны условиями или вообще удалены), нет и регистрации бота. Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 455 Опубликовано: 22 марта 2018 Рассказать Опубликовано: 22 марта 2018 26 минут назад, SN74 сказал: а что если нам нужно делать пользователей через админку и что бы они ходили по сайту под собой? Ставите ограничения на число зарегистрированных пользователей (например 1) и всё, через админку можно будет создать пользователя не убирая ограничения, а зарегистрироваться через сайт уже не смогут Цитата Ссылка на сообщение Поделиться на других сайтах
SN74 5 Опубликовано: 22 марта 2018 Рассказать Опубликовано: 22 марта 2018 41 минуту назад, germanydletest сказал: Ставите ограничения на число зарегистрированных пользователей (например 1) и всё, через админку можно будет создать пользователя не убирая ограничения, а зарегистрироваться через сайт уже не смогут Совсем забыл что админка не подвержена этому ограничению, тоже конечно костыль, но хотя бы что то. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 23 марта 2018 Рассказать Опубликовано: 23 марта 2018 14 часов назад, SN74 сказал: Насколько я помню, это отключит и возможность заходить на сайт под пользователем Да. 14 часов назад, SN74 сказал: а что если нам нужно делать пользователей через админку и что бы они ходили по сайту под собой? Но при этом не давать регистрироваться новым через сайт. Для этого есть другая настройка, которую я написал выше автору топика, и он это сделал, а именно указание ограничения на количество зарегистрированных. 14 часов назад, SN74 сказал: Нет данных на странице (потому что они порезаны условиями или вообще удалены), нет и регистрации бота. Нет вывода системы вопрос-ответ, нет регистрации, я же написал уже выше. Зачем что то еще, и получить масло - масленное. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.