Jump to content

Recommended Posts

Ну что у ваших клиентов! атака продолжается?

Пока продолжается, сейчас будем пробовать такие меры:

 

 
1. Изменить name="name" на что-то другое. Например name="imja"
2. Создать скрытое поле name="name", написать в него что-то, например "1", и если в это поле что-то дописывают то отмечать как-то этот заказ.
3. Установить reCaptcha от Гугла. https://www.google.com/recaptcha
Link to post
Share on other sites
  • Replies 171
  • Created
  • Last Reply

Top Posters In This Topic

многие клиенты столкнулись с этой бедой, проблема глобальная не только с симплой. атакуют разные цмс 

 

http://www.cmsmagazine.ru/library/items/ecommerce/a-new-kind-of-dos-attacks-on-online-shopping/

 

AJAX может чем-нибудь помочь?

Link to post
Share on other sites

AJAX может чем-нибудь помочь?

 

не думаю, это поможет от ботов, которые не умеют выполнять js, в остальном это все та же отправка формы заказа.

Link to post
Share on other sites

не думаю, это поможет от ботов, которые не умеют выполнять js, в остальном это все та же отправка формы заказа.

 

я имел в  виду форму вызывать по AJAX, допустим после клика по способу доставки.... или как-то так

Edited by Maksclub
Link to post
Share on other sites

Атака на бизнес-процессы .... интересно конечно

 

ВСЕМ как идея! Расположить на странице магазина в виде изображения инструкцию и предупреждение!

JS подменять местами заголовки инпутов имя и телефон... в админке поменять эти подписи... если видите нестыковки, то бот!

Edited by Maksclub
Link to post
Share on other sites

Атака на бизнес-процессы .... интересно конечно

 

ВСЕМ как идея! Расположить на странице магазина в виде изображения инструкцию и предупреждение!

JS подменять местами заголовки инпутов имя и телефон... в админке поменять эти подписи... если видите нестыковки, то бот!

 

Можно же так схитрить? Или делать простенький алгоритм смены полей? Сейчас имя это имя и в админке это имя, через час имя с другим name="", также с телефоном сделать  и по револьверу крутить раз в час...

 

либо сделать это как-то при "наплыве"... типа "антикризисный" режим

 

 или tpl подключать разный время от времени с разным обработчиком...

Edited by Maksclub
Link to post
Share on other sites

Можно же так схитрить? Или делать простенький алгоритм смены полей? Сейчас имя это имя и в админке это имя, через час имя с другим name="", также с телефоном сделать  и по револьверу крутить раз в час...

 

либо сделать это как-то при "наплыве"... типа "антикризисный" режим

 

 или tpl подключать разный время от времени с разным обработчиком...

 

 

можно и даже нужно к названию поля добавить сгенерированный код по типу капчи

Edited by DaVinci
Link to post
Share on other sites

в CartView.php

 

перед

 

// Выводим корзину
return $this->design->fetch('cart.tpl');

 

ставим

 

$code = rand(10000,99999);
$_SESSION["field_name"] = $code;

 

в шаблоне

 

<input name="name_{$smarty.session.field_name}" type="text" value="{$name|escape}" data-format=".+" data-notice="Введите имя"/>

 

ловим пост

 

$name = 'name_'.$_SESSION["field_name"];
$order->name        = $this->request->post($name);
Link to post
Share on other sites

Denn69 и VadimB 
напишите в скайп ps-avatar установлю капчу от гугл (reCAPTCHA 2.0) бесплатно, хочу узнать на сколько действенна эта капча 

Link to post
Share on other sites

У нас первый день тоже так было! Началась утром, след. день началась после обеда. А сегодня долбят с 10 часов и все продолжается и сейчас!

Вы когото привлекаете к решению проблемы?

 

вы попробовали приведенный мною метод

Link to post
Share on other sites

Таже фигня. Стали сыпаться фейковые заказы.. Похоже, что капчу вводит человек, поэтому рекапча и прочие капчи вряд ли помогут.

Edited by valera
Link to post
Share on other sites

Таже фигня. Стали сыпаться фейковые заказы.. Похоже, что капчу вводит человек, поэтому рекапча и прочие капчи вряд ли помогут.

 

пробуйте приведенный метод

Link to post
Share on other sites

Не ругайтесь пожалуйста, мы тут одним горем собраны!

 

 

а по делу? был приведен пример, вы воспользовались советом? Нет, тогда зачем вести дальнейшее обсуждение вашего горя?

Link to post
Share on other sites

daVinchi

уже запустил, посмотрим.. Этот спамер периодами заказывает, обычно в дневное время...

 

Правильно ли я понял, что в случае спамера $order->name останется пустым? (или заказ не будет сформирован из-за отсутствия этого поля?

 

upd1: разобрался

 

Идея вполне здравая - скорее всего бот, это не бот в обычном смысле.. Это комбинация бота и человека. Бот заполняет все поля данными по образцу, а человек вводит капчу.. Идея daVichi состоит в том, что бот не проходит все страницы и не выловит сессионную переменную со страницы корзины.. 

 

Думаю, что это не сработает, т.к. бот загружает сраницы все, которые нужно (а не тупо лепит пост-запросы).

 

upd2: хотя ему придется настраивать парсер иразбираться в логике наименования полей, может и сработать...

 

upd3: пока фейковых заказов нет, посмотрим завтра

Edited by valera
Link to post
Share on other sites

daVinchi

уже запустил, посмотрим.. Этот спамер периодами заказывает, обычно в дневное время...

 

Правильно ли я понял, что в случае спамера $order->name останется пустым? (или заказ не будет сформирован из-за отсутствия этого поля?

 

upd1: разобрался

 

Идея вполне здравая - скорее всего бот, это не бот в обычном смысле.. Это комбинация бота и человека. Бот заполняет все поля данными по образцу, а человек вводит капчу.. Идея daVichi состоит в том, что бот не проходит все страницы и не выловит сессионную переменную со страницы корзины.. 

 

Думаю, что это не сработает, т.к. бот загружает сраницы все, которые нужно (а не тупо лепит пост-запросы).

 

upd2: хотя ему придется настраивать парсер иразбираться в логике наименования полей, может и сработать...

 

upd3: пока фейковых заказов нет, посмотрим завтра

 

для того что бы настроить бота надо заполнить пресеты формы заказа. как вариант попробовать менять имя обязательного поля, в этом случае и пресет будет не актуален. так как у бота в логике заполнить поле name его в нашем случае не существует, потому как имя постоянно меняется, и даже если бот будет слать пост запрос с полем name форма заказа должна выдать ошибку.

 

надо пробовать. есть еще один вариант. но сперва хочу услышать мнение тех кто протестировал, будет ли работать этот метод или нет. боты разные бывают.

Edited by DaVinci
Link to post
Share on other sites

А связи с этим мысль появилась - сделать проще, поменяв местами имена input-полей, например, так:

	<label>Имя, фамилия</label>
	<input name="email" type="text" value="{$name|escape}" data-format=".+" data-notice="Введите имя"/>
	
	<label>Email</label>
	<input name="name" type="text" value="{$email|escape}" data-format="email" data-notice="Введите email" />

И при обработке

 

    	$order->name        = $this->request->post('email');
    	$order->email       = $this->request->post('name');

Больше вроде бы и никаких изменений.

Это в надежде на то, что бот будет ориентироваться на названия полей, и тогда проверка даст ошибку неверного email.

Link to post
Share on other sites

А связи с этим мысль появилась - сделать проще, поменяв местами имена input-полей, например, так:

И при обработке

 

Это в надежде на то, что бот будет ориентироваться на названия полей, и тогда проверка даст ошибку неверного email.

 

кроме бота там человек есть... он посмотрит и поменяет настройки бота.. В варианте же DaVinci  

узнать заранее название поля нельзя.. 

Link to post
Share on other sites

А связи с этим мысль появилась - сделать проще, поменяв местами имена input-полей, например, так:

	<label>Имя, фамилия</label>
	<input name="email" type="text" value="{$name|escape}" data-format=".+" data-notice="Введите имя"/>
	
	<label>Email</label>
	<input name="name" type="text" value="{$email|escape}" data-format="email" data-notice="Введите email" />

И при обработке

 

    	$order->name        = $this->request->post('email');
    	$order->email       = $this->request->post('name');

Больше вроде бы и никаких изменений.

Это в надежде на то, что бот будет ориентироваться на названия полей, и тогда проверка даст ошибку неверного email.

 

Вот это я и подразумевал выше! ;) Только хитрее надо, что бы попеременно менялось на  (3-4 варианта названий)

Такое сложно сделать?

Link to post
Share on other sites

кроме бота там человек есть... он посмотрит и поменяет настройки бота.. В варианте же DaVinci  

узнать заранее название поля нельзя.. 

 

А можно все совместить, решение Корса и Давинчи?

Link to post
Share on other sites

еще есть вариант генерировать уникальный ключ для поля при определенных условиях

- в файле ajax/cart.php. если предположить что товар попадает в корзину вот таким образом demo.simplacms.ru/cart/?variant=12 то бот обходит человеческий путь


- при клике на ссылку "перейти в корзину" а при прямом обращении к корзине перебрасывать на главную. и лучше на период обильной атаки урезать прямое обращение к корзине

-----

и еще надо смотреть заходит ли бот на сайт как человек. для этого в письме заказа надо отправлять ип покупателя и проверять его в счетчике но скорее всего его там не будет

Edited by DaVinci
Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...