ASP之屏蔽垃圾信息分析
[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!
昨天偶們的一個分站垃圾信息很狂,隔幾秒鐘就有一條垃圾信息進入站點!雖然做了垃圾信息的過濾屏蔽,但是屏蔽不是萬全之策。唯有防止才是最好的辦法,防止這些信息進入站點,那就需要分析此軟件是怎么將信息寫入數據庫的。
分析思路:
偶在站點程序中加了同服務器的檢測,也就是說必須通過本站的發布頁面才可以將信息寫入到數據庫。因此需要分析來源地址。
因站點發布信息是按步驟來的,第一步需要選擇站點的類別(A),第二步添寫信息的主體內容(B)。(以A、B分別表示兩個頁面)
在B頁面中添加來源檢測,并停止此頁面。將檢測來源結果寫入到一TXT文檔中,結果垃圾信息已停止入庫。則說明須經此頁面向數據庫寫入數據。
看檢測結果,來源地址是此站點的A頁面!
再將A頁面停止,開啟B頁面,結果信息又來了,看來信息不是經過A頁面而可能是偽造了一個A頁面地址,這里如何來偽造的就不得而知了!(由A頁面加入隨機碼,經表單后B頁面獲取來限制須經A頁面)
開啟信息時間間隔限制,結果無效!由此想到可能軟件在發信息的時候停止了COOKIES,COOKIES停止那SESSION做的時間間隔限制自然不起作用!
那只要在A頁面寫入一SESSION,由B頁面獲取SESSION判斷SESSION是否不存在,不存在則停止B頁面不進入數據寫入操作,達到停止垃圾信息的目的!
實現:
在A頁面寫入Session("Random")=隨機函數生成的字符串,B頁面請求A頁面中生成的Session值判斷是否為空。為空則為垃圾軟件則停止頁面的執行。
二、
前段時間對信息發布增加Cookies校驗,檢測Cookies是否為空。如果為空則不允許信息發布將被停止!經分析檢測此方法可以阻止垃圾信息的發布!
垃圾信息發布軟件,可以偽造IP地址,偽造來源地址,讀取驗證碼圖片!
偽造IP的方法不知道再通過什么方法可以得到其真實的IP
偽造來源,通過在各發布頁面增加隨機碼將表單中的隨機碼與SESSION中存儲的隨機碼進行比對,可做到來源判斷!再加上發布信息是需要分三步走,估計軟件應該做不到這種地步吧!因此可以阻止此項
至于讀取驗證碼圖片,就不得知是怎么做的,偶還不會寫驗證碼生成程序!-_-
可以說只通過第二種方法已經阻止垃圾信息入庫!
問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!