那些遇到过的问题

如何创建一个"核"蜜罐来捕捉形式垃圾邮件发送者

Gia*_*lms 18 forms spam-prevention

我目前在我的注册表上的蜜罐是一个电话号码的条目,它被放在屏幕上使用position: fixed;.

它欺骗了标准的品种形式填充物,但是效果不如我.此外,垃圾邮件程序立即响应表单中的更改,这意味着这是自动的,我该怎么办.

注意:我讨厌使用,因为他们的用户解决了我的问题,这从来都不是好事.

Gia*_*lms 39

构建一个非常聪明的蜜罐

这似乎是显而易见的,但这里有一些技巧(详情稍后):

  1. 想像垃圾邮件机器人一样
  2. 假设他们能够知道屏幕上或其他元素后面的内容
  3. 有多个陷阱.
    • 时间陷阱
    • 蜜罐

1.像垃圾邮件机器人一样思考:

像垃圾邮件机器人一样开始浏览你的页面,你甚至可以写自己的腰部时间,但很有趣:).大多数垃圾邮件机器人都会抓取标记来查找<form>元素.然后他们会查看你的输入并适当地填充它们,这就是问题:他们如何知道要填写什么.他们可能会查看Id,类,占位符和标签.这将我们带到了第一种方法

方法#1:

表单代码中的标签输入错误.您的用户名输入应该具有#Form_Email繁荣的ID !垃圾邮件机器人填写表单不正确.同时隐藏和错误标记输入标签,改为使用div.*

方法#2从这里开始

您可能已经注意到,如果你简单地忽略隐藏的东西,基于位置的是在它的面前,甚至历久弥新display: none;,visibility: hidden;,opacity: 0;type='hidden'.这给了我们一个强大的武器.我在测试时间陷阱时偶然发现了这一点.我用一个基本的表格填充填充表格.在我的网站(我不是在谈论GiantCowFilms.com),注册表单是在当用户点击注册按钮打开一个对话框.默认情况下它是隐藏的.这给了我一个想法

方法#2

默认值:表单已隐藏.基本上,您的表单隐藏在页面加载,但是由一些基于鼠标的操作发现(我不认为机器人有鼠标).如果你不想在页面加载时看到你的表格,可以在标记中添加一个相同的诱饵,如果机器人填写并提交它,阻止它的Ip几分钟.**对于真正的用户,只需当鼠标悬停在诱饵形式上时,就可以切换它们.

2.假设他们知道您的页面是什么样的

假设用CSS隐藏蜜罐是完美的,这是一个严重的错误.他们是很多超级智能屏幕阅读器,如JAWS,可以重新用于spaming.这就是为什么你有多道防线.

3.有多个陷阱

  • 时间陷阱:回想起机器人的想法,你不想在网站上等待而不是攻击他人吗? 方法#3:创建一个时间陷阱. 最好的方法是在页面加载时在隐藏输入中打印时间.当您提交表单时,它会告诉您需要多长时间.尽可能快地填写表格.这应该是填补你的最短时间.注意:加密您的时间戳,以便机器人无法更改它.

    如果你不想变得非常花哨,可以测量机器人打字的WPM.这是在堆栈交换上完成的(尝试复制和粘贴然后提交和问题/答案).此外,如果打字率非常一致,那就是一面红旗.

  • 蜜罐(方法#4):一次性使用以上所有方法以获得最佳效果.一定要欺骗哑机器人和智能机器人(不要以为机器人总是在努力.)

现在,为了向我们发送垃圾邮件,机器人必须拥有游标,渲染页面,等待,以可变的现实速度键入.如果他们制造这样的机器人,那么我猜它将是Captcha时间:(.

*使用屏幕阅读器的人会触发或被这些防御混淆,并且根据您所在的国家/地区,您可能会因为歧视盲人和半盲人而陷入困境.因此,当用户触发机器人测试时,将它们带到具有残疾友好验证码(如reCaptcha)的非加载形式.

**人们经常分享Ips,你可以追逐有效的用户.

PS使用你已经拥有的简单蜂蜜罐.有些机器人太笨了,不会被我们这里的东西欺骗.

  • 这是我见过的第一个为蜜罐陷阱推荐特殊技术的用户:即"错误标记"字段.我不知道为什么更多的人不推荐这个.它也适合我.我不认为垃圾邮件发送者足够聪明,可以找出这种不寻常的行为.优秀,优秀的答案,展示了一些有效的分析和真正的创造性思维.我当然会从GiantCow窃取其中一些.谢谢. (3认同)
  • 很棒的信息。我唯一不同意的一点是WPM,好吧,我想我也不同意,因为密码管理器如今越来越普遍,并且密码管理器会自动(非常快地)填写字段。其余的东西很棒。您是否正在收集有关此方面的任何数据? (3认同)
  • 您没有提到单枪匹马捕获提交到我的电子邮件表单的 99% 垃圾邮件的技巧,该表单看起来有点像博客评论表单:不区分大小写地将字符串“&lt;/a&gt;”列入黑名单,“ [/url]` 和 `[/link]` 并显示一条人类可读的消息,要求用户切换到没有标记的 URL 并重新提交。 (2认同)
  • 鼠标悬停是有问题的,因为使用手机和平板电脑的人没有鼠标。 (2认同)

Ric*_*ell 12

多年来,我一直使用我自己的“表单垃圾邮件发送者陷阱”,它使用各种技术来阻止垃圾邮件机器人。最有效的是在短时间内隐藏字段(尤其是表单的“操作”)。由于机器人会为字段和“操作”页面抓取您的表单,并使用该信息“卷曲”您的表单数据,因此在这些区域放置虚假信息将愚弄所有垃圾邮件机器人。

超时后(基于 JS),隐藏的值将替换为其实际值。到那时,垃圾邮件机器人已经移动到另一个目标上,使用虚假值将失败。

我已将整个过程开发为免费解决方案,可在我的“Form Spammer Trap”站点https://www.FormSpammerTrap.com 上获得。该网站已经存在多年,但那里的联系表格尚未成功“垃圾邮件”。(欢迎您的机器人尝试。)

要在您的站点中实施,您需要添加一个“包含”和三个功能。您可以使用一些高级技术自定义表单。

对于那些对垃圾邮件机器人的工作原理以及隐藏字段等常见“技巧”为何不起作用感兴趣的人,请参阅此处:https ://www.securitydawg.com/how-bots-spam-contact-forms/ 。

我的“FormSpammerTrap”解决方案是免费的(基于 PHP),可通过联系表单获得(只需选中该框即可获取免费代码)。无义务;我什至不保存您的电子邮件地址。

但它非常有效。恕我直言。

2020 年 6 月 21 日添加

“FormSpammerTrap”解决方案仍然存在,并且多年来进行了重大更新。最新版本允许对表单进行更多(更容易)的自定义,尽管基本使用只需要一个自定义条目。文档得到了极大的改进。

我正在开发版本 9,它将添加更多自定义。它应该在几周内发布。

https://www.FormSpammerTrap.com网站有最新版本,它是如何工作的全部细节,并博客条目我写了一篇关于如何形成的垃圾邮件发送者的工作(以及它们如何能够被阻止)的链接。

而且它仍然是免费的 - 只需填写网站上的联系表格并选中复选框即可立即获取,并附有完整的文档和样本。这是完全保证或您的退款!(好吧,它是免费的...)

(并感谢您的投票。)

  • 不确定为什么投反对票(包括投反对票的原因总是有帮助的;帮助这个人在这里做得更好......)。我使用的解决方案(并免费提供)的工作原理与广告中所宣传的一样。您可以采用我使用的流程并将其转换为您自己的代码,但这些文件可以轻松集成到您的网站中。它已经工作很多年了。(公开邀请垃圾邮件机器人尝试用他们的标准流程来击败它。还没有发生。)因此,没有解释的否决票(堆栈上的任何地方)对任何人都没有帮助。 (3认同)

归档时间:

查看次数:

7667 次

最近记录:

5 年,11 月 前
相关归档
ASP.net使用表单将数据插入到sql server表中 16
Symfony2形成重复的元素自定义标签 11
react.js - 在表单提交时及之后显示消息 11
在隐藏的领域代表布尔 10
带有自定义rails的额外字段构建构建器 6
单击文本输入时,表单字段会更改焦点 6
表示对象的表单的自定义字段 5
用PHP中的表单写入.txt文件 2
表单隐藏字段和必需的验证使用 1
MS Access OpenForm acDialog选项似乎不起作用 0
难疑归档
什么是serialVersionUID,我为什么要使用它? 2880
使用jQuery禁用/启用输入? 2216
如果目录尚不存在,如何mkdir? 1784
使用jQuery将表单数据转换为JavaScript对象 1580
在jQuery中创建div元素 1500
没有指定分支的"git push"的默认行为 1339
如何检查iOS或macOS上的活动Internet连接? 1309
如何在JavaScript正则表达式中访问匹配的组? 1277
对于Android Studio项目,我的.gitignore应该是什么? 1210
简单的面试问题变得更难:给出数字1..100,找到丢失的数字 1115