Чому боти налаштування "хакерів" неодноразово заповнюють веб-форми?

Я щось не отримую, один з моїх веб-додатків має невелику форму, яка дозволяє вводити ваше ім’я та електронну адресу, щоб "підписатися" на список користувачів для сайту, який я підтримую. На сайті дуже низький трафік, і корисний лише дуже невеликій кількості людей, які живуть у дуже маленькому містечку. Це не зацікавило б нікого іншого.

Однак кожен день, іноді багато разів на день, хтось (або бот) вводить у форму вигадані імена та, ймовірно, неправдиві адреси електронної пошти.

Ця форма вже навіть не активна на моєму сайті, вона, як правило, все ще існує як осиротіла сторінка в моєму каталозі IIS (що говорить мені про те, що хтось шукає ці форми через Google, оскільки немає шляху до цієї форми, якщо ви заходите через сторінку за замовчуванням.

Для мене це не великі клопоти, я можу вирішити проблему з капчу, але те, що я не розумію, з якою метою хтось налаштував би бота, щоб повторно заповнювати форми? Я вважаю, що має бути причина, але все життя я не знаю, чому?

Що я пропускаю?

Це боти, які намагаються надіслати вам спам, або ще гірше, намагаються використовувати вашу контактну форму для надсилання спаму іншим.

Наприклад, є кілька відомих подвигів команди PHP, які mail()зазвичай використовуються контактними формами, які можуть спричинити перезапис адресу TO, який ви вводите у свій код, на дані POSTed, якщо ви не стежите за тим, як обробляти дані, що надходять. від вашої форми.

Деякі способи запобігти цьому:

1. Використовуйте капчу. Для сайту з низьким трафіком навіть статична капчча (зображення, яке щоразу містить один і той самий текст) буде дуже добре працювати.

2. Перевірте HTTP, referrerщоб переконатися, що POST надходить з вашої контактної форми. Хоча багато ботів підроблять це, тому це не дуже корисно.

3. Використовуйте приховані поля форми, щоб спробувати обманути ботів. Наприклад, створіть поле, яке називається phone_numberу вашій формі, і прихойте його за допомогою CSS у вашому аркуші стилів (відображення: жодне). Бот зазвичай заповнює це поле (зазвичай вони заповнюють усі поля, щоб уникнути можливих помилок перевірки необхідного поля), але користувач цього не зробив, оскільки це приховано. Тож у POST ви перевіряєте значення у цьому полі і SILENTLY не вдається надіслати повідомлення, якщо в ньому є значення. Я вважаю, що лише цей метод є високоефективним.

Ці боти сліпо намагаються будь-яку форму, яку вони знайдуть, щоб надсилати спам-пошту. Деякі з них можуть мати історичні дані форм, і навіть якщо вони наразі не вказані в пошукових системах, ці боти можуть розміщувати дані за цією URL-адресою.

Скажімо, веб-сайт містить HTML-форму для відправлення рекомендації другові, як правило, "Скажи смаженому" або "Надіслати листівку", яка не захищена, наприклад, зображенням CAPTCHA. Бот може використовувати форму для надсилання тисяч спам-повідомлень за допомогою вашого SMTP-сервера.

Якщо бот надходить з тієї самої IP-адреси, ви можете заблокувати цю адресу на IIS або на брандмауері.

Якщо вони можуть якось потрапити на ваш сервер і імплантувати програмне забезпечення на ньому, не помічаючи, це один додатковий спам-файл для них.

Зареєструватися - це на крок ближче до можливості захоплення сервера, оскільки ви можете бачити трохи більше файлів на сервері.

Плюс, якщо форма не захищена від XSS та інших подібних тактик, зламати ще простіше.

Вони звичайно намагаються підробити користувацькі команди HTML / PHP / ASP, коли вони потрапляють на подачу, використовуються як бекдор для троянів тощо.

Спам для коментарів - одна з причин. Вони намагаються додати чимало посилань у коментарі до блогу, наприклад, намагаючись підвищити свій рейтинг на сторінці.

Деякі з них, здається, просто заповнюють будь-яку форму, яку вони бачать, із посиланнями на порносайти, сподіваючись, що десь якимось чином посилання у формі з’являться на вашому веб-сайті та їх підбирає google.

У мене було багато удачі, блокуючи ботів з деякими спеціальними правилами mod_Security.