2007年11月8日 星期四

很沒用的無名留言板預防灌水機制

  昨天因為這篇新聞在PTT上面引發了一陣不小的騷動,有鄉民把帶頭打人的無名網址po上來,瞬間,他的留言版被一堆鄉民灌爆,當然...我也不小心灌了幾篇,從這邊我們可以順便檢查一下無名的留言板防護機制幾乎可以說等於0。

##CONTINUE##  為什麼說幾乎等於0呢?因為它雖然有圖片認證碼防護機制,不過根本沒用,因為它做的不夠好,根據我昨天測試的結果
  1. 使用者第一次手動輸入認證碼後狂按留言便可快速送出同樣的留言
  2. 手按痠了,先停一下,畫面會轉到留言板第一頁,這時按下"回上一頁"
  3. ㄟ~剛輸入的東西都還在,包括認證碼也是,再度狂按留言
  4. 重覆1~3到留言版爆掉為止...
  好,通過以上的步驟你就能輕鬆灌爆別人的留言板,根據我昨天測試的結果,根本不用到5分鐘留言板就爆了,這時候就要問說:ㄟ~他沒有幾分鐘之內送出多少封包就鎖ip的機制嗎?是的,他有,不過我昨天不知道送出了幾千封留言後才被封鎖,這地方根本做的不夠...

  我覺得他應該改進的是
  1. 相同ip幾分鐘之內不能留言超過多少封(ex: 1分鐘100封)
  2. 相同ip或電腦短時間內送出的留言不能相同
  3. 改進鎖ip機制,現在鎖ip一次是幾小時的樣子,應該改成一次5分鐘但頻繁一點
  4. 把這些垃圾趕出無名...
  話說,我無名的密碼自從他上次丁丁的要求全面換密碼之後就忘了= ="

  題外話,破解ip封鎖機制只需換個ip,然後清個cookie就可以了,昨天我就發現很好玩的事,因為firefox使用的cookie跟IE不一樣,所以我在同一台電腦上IE不能上無名,但是firefox可以...

沒有留言: