Перейти к содержанию
Официальный форум поддержки Simpla

Рекомендуемые сообщения

Ну что у ваших клиентов! атака продолжается?

Пока продолжается, сейчас будем пробовать такие меры:

 

 
1. Изменить name="name" на что-то другое. Например name="imja"
2. Создать скрытое поле name="name", написать в него что-то, например "1", и если в это поле что-то дописывают то отмечать как-то этот заказ.
3. Установить reCaptcha от Гугла. https://www.google.com/recaptcha
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 171
  • Дата создания
  • Последний ответ

Лучшие авторы в теме

Лучшие авторы в теме

В подобной ситуации пробовал п.1, 2 - безрезультатно...

п.3 - тяжелый метод...

Изменено пользователем Kors
Ссылка на сообщение
Поделиться на другие сайты

многие клиенты столкнулись с этой бедой, проблема глобальная не только с симплой. атакуют разные цмс 

 

http://www.cmsmagazine.ru/library/items/ecommerce/a-new-kind-of-dos-attacks-on-online-shopping/

Изменено пользователем DaVinci
Ссылка на сообщение
Поделиться на другие сайты

многие клиенты столкнулись с этой бедой, проблема глобальная не только с симплой. атакуют разные цмс 

 

http://www.cmsmagazine.ru/library/items/ecommerce/a-new-kind-of-dos-attacks-on-online-shopping/

 

AJAX может чем-нибудь помочь?

Ссылка на сообщение
Поделиться на другие сайты

AJAX может чем-нибудь помочь?

 

не думаю, это поможет от ботов, которые не умеют выполнять js, в остальном это все та же отправка формы заказа.

Ссылка на сообщение
Поделиться на другие сайты

не думаю, это поможет от ботов, которые не умеют выполнять js, в остальном это все та же отправка формы заказа.

 

я имел в  виду форму вызывать по AJAX, допустим после клика по способу доставки.... или как-то так

Изменено пользователем Maksclub
Ссылка на сообщение
Поделиться на другие сайты

запустил на проверку метод с использование java, жду результатов

Изменено пользователем DaVinci
Ссылка на сообщение
Поделиться на другие сайты

Атака на бизнес-процессы .... интересно конечно

 

ВСЕМ как идея! Расположить на странице магазина в виде изображения инструкцию и предупреждение!

JS подменять местами заголовки инпутов имя и телефон... в админке поменять эти подписи... если видите нестыковки, то бот!

Изменено пользователем Maksclub
Ссылка на сообщение
Поделиться на другие сайты

Атака на бизнес-процессы .... интересно конечно

 

ВСЕМ как идея! Расположить на странице магазина в виде изображения инструкцию и предупреждение!

JS подменять местами заголовки инпутов имя и телефон... в админке поменять эти подписи... если видите нестыковки, то бот!

 

Можно же так схитрить? Или делать простенький алгоритм смены полей? Сейчас имя это имя и в админке это имя, через час имя с другим name="", также с телефоном сделать  и по револьверу крутить раз в час...

 

либо сделать это как-то при "наплыве"... типа "антикризисный" режим

 

 или tpl подключать разный время от времени с разным обработчиком...

Изменено пользователем Maksclub
Ссылка на сообщение
Поделиться на другие сайты

Можно же так схитрить? Или делать простенький алгоритм смены полей? Сейчас имя это имя и в админке это имя, через час имя с другим name="", также с телефоном сделать  и по револьверу крутить раз в час...

 

либо сделать это как-то при "наплыве"... типа "антикризисный" режим

 

 или tpl подключать разный время от времени с разным обработчиком...

 

 

можно и даже нужно к названию поля добавить сгенерированный код по типу капчи

Изменено пользователем DaVinci
Ссылка на сообщение
Поделиться на другие сайты

в CartView.php

 

перед

 

// Выводим корзину
return $this->design->fetch('cart.tpl');

 

ставим

 

$code = rand(10000,99999);
$_SESSION["field_name"] = $code;

 

в шаблоне

 

<input name="name_{$smarty.session.field_name}" type="text" value="{$name|escape}" data-format=".+" data-notice="Введите имя"/>

 

ловим пост

 

$name = 'name_'.$_SESSION["field_name"];
$order->name        = $this->request->post($name);
Ссылка на сообщение
Поделиться на другие сайты

Denn69 и VadimB 
напишите в скайп ps-avatar установлю капчу от гугл (reCAPTCHA 2.0) бесплатно, хочу узнать на сколько действенна эта капча 

Ссылка на сообщение
Поделиться на другие сайты

У нас первый день тоже так было! Началась утром, след. день началась после обеда. А сегодня долбят с 10 часов и все продолжается и сейчас!

Вы когото привлекаете к решению проблемы?

 

вы попробовали приведенный мною метод

Ссылка на сообщение
Поделиться на другие сайты

Таже фигня. Стали сыпаться фейковые заказы.. Похоже, что капчу вводит человек, поэтому рекапча и прочие капчи вряд ли помогут.

Изменено пользователем valera
Ссылка на сообщение
Поделиться на другие сайты

Таже фигня. Стали сыпаться фейковые заказы.. Похоже, что капчу вводит человек, поэтому рекапча и прочие капчи вряд ли помогут.

 

пробуйте приведенный метод

Ссылка на сообщение
Поделиться на другие сайты

Не ругайтесь пожалуйста, мы тут одним горем собраны!

 

 

а по делу? был приведен пример, вы воспользовались советом? Нет, тогда зачем вести дальнейшее обсуждение вашего горя?

Ссылка на сообщение
Поделиться на другие сайты

daVinchi

уже запустил, посмотрим.. Этот спамер периодами заказывает, обычно в дневное время...

 

Правильно ли я понял, что в случае спамера $order->name останется пустым? (или заказ не будет сформирован из-за отсутствия этого поля?

 

upd1: разобрался

 

Идея вполне здравая - скорее всего бот, это не бот в обычном смысле.. Это комбинация бота и человека. Бот заполняет все поля данными по образцу, а человек вводит капчу.. Идея daVichi состоит в том, что бот не проходит все страницы и не выловит сессионную переменную со страницы корзины.. 

 

Думаю, что это не сработает, т.к. бот загружает сраницы все, которые нужно (а не тупо лепит пост-запросы).

 

upd2: хотя ему придется настраивать парсер иразбираться в логике наименования полей, может и сработать...

 

upd3: пока фейковых заказов нет, посмотрим завтра

Изменено пользователем valera
Ссылка на сообщение
Поделиться на другие сайты

тема почищена от хлама. Дальнейшее обсуждение не касаемо темы будет расценено как спам

Ссылка на сообщение
Поделиться на другие сайты

daVinchi

уже запустил, посмотрим.. Этот спамер периодами заказывает, обычно в дневное время...

 

Правильно ли я понял, что в случае спамера $order->name останется пустым? (или заказ не будет сформирован из-за отсутствия этого поля?

 

upd1: разобрался

 

Идея вполне здравая - скорее всего бот, это не бот в обычном смысле.. Это комбинация бота и человека. Бот заполняет все поля данными по образцу, а человек вводит капчу.. Идея daVichi состоит в том, что бот не проходит все страницы и не выловит сессионную переменную со страницы корзины.. 

 

Думаю, что это не сработает, т.к. бот загружает сраницы все, которые нужно (а не тупо лепит пост-запросы).

 

upd2: хотя ему придется настраивать парсер иразбираться в логике наименования полей, может и сработать...

 

upd3: пока фейковых заказов нет, посмотрим завтра

 

для того что бы настроить бота надо заполнить пресеты формы заказа. как вариант попробовать менять имя обязательного поля, в этом случае и пресет будет не актуален. так как у бота в логике заполнить поле name его в нашем случае не существует, потому как имя постоянно меняется, и даже если бот будет слать пост запрос с полем name форма заказа должна выдать ошибку.

 

надо пробовать. есть еще один вариант. но сперва хочу услышать мнение тех кто протестировал, будет ли работать этот метод или нет. боты разные бывают.

Изменено пользователем DaVinci
Ссылка на сообщение
Поделиться на другие сайты

А связи с этим мысль появилась - сделать проще, поменяв местами имена input-полей, например, так:

	<label>Имя, фамилия</label>
	<input name="email" type="text" value="{$name|escape}" data-format=".+" data-notice="Введите имя"/>
	
	<label>Email</label>
	<input name="name" type="text" value="{$email|escape}" data-format="email" data-notice="Введите email" />

И при обработке

 

    	$order->name        = $this->request->post('email');
    	$order->email       = $this->request->post('name');

Больше вроде бы и никаких изменений.

Это в надежде на то, что бот будет ориентироваться на названия полей, и тогда проверка даст ошибку неверного email.

Ссылка на сообщение
Поделиться на другие сайты

А связи с этим мысль появилась - сделать проще, поменяв местами имена input-полей, например, так:

И при обработке

 

Это в надежде на то, что бот будет ориентироваться на названия полей, и тогда проверка даст ошибку неверного email.

 

кроме бота там человек есть... он посмотрит и поменяет настройки бота.. В варианте же DaVinci  

узнать заранее название поля нельзя.. 

Ссылка на сообщение
Поделиться на другие сайты

А связи с этим мысль появилась - сделать проще, поменяв местами имена input-полей, например, так:

	<label>Имя, фамилия</label>
	<input name="email" type="text" value="{$name|escape}" data-format=".+" data-notice="Введите имя"/>
	
	<label>Email</label>
	<input name="name" type="text" value="{$email|escape}" data-format="email" data-notice="Введите email" />

И при обработке

 

    	$order->name        = $this->request->post('email');
    	$order->email       = $this->request->post('name');

Больше вроде бы и никаких изменений.

Это в надежде на то, что бот будет ориентироваться на названия полей, и тогда проверка даст ошибку неверного email.

 

Вот это я и подразумевал выше! ;) Только хитрее надо, что бы попеременно менялось на  (3-4 варианта названий)

Такое сложно сделать?

Ссылка на сообщение
Поделиться на другие сайты

кроме бота там человек есть... он посмотрит и поменяет настройки бота.. В варианте же DaVinci  

узнать заранее название поля нельзя.. 

 

А можно все совместить, решение Корса и Давинчи?

Ссылка на сообщение
Поделиться на другие сайты

еще есть вариант генерировать уникальный ключ для поля при определенных условиях

- в файле ajax/cart.php. если предположить что товар попадает в корзину вот таким образом demo.simplacms.ru/cart/?variant=12 то бот обходит человеческий путь


- при клике на ссылку "перейти в корзину" а при прямом обращении к корзине перебрасывать на главную. и лучше на период обильной атаки урезать прямое обращение к корзине

-----

и еще надо смотреть заходит ли бот на сайт как человек. для этого в письме заказа надо отправлять ип покупателя и проверять его в счетчике но скорее всего его там не будет

Изменено пользователем DaVinci
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...