差分表示


以前,Wiki荒らしのひどさに腹が立って,[[Wiki荒らしへの対策(凍結)]]にあるように

//title=Wikiの色パスワードが荒らしに破られた
//parent=サイト構築/Blog
//parent=PyukiWiki
//mdate=2007-08-15
-ページを凍結する
-commentなど投稿プラグインを色パスワードで防御する

という対策をとった.これでしばらく収まって安心していたのだが,最近また荒らし書き込みが頻発し始めた.

腹が立ったのでApacheのログを調べると,投稿プラグインの書き込みリクエストが10回近く連続している.
...どうも,色パスワードの入力として取りうる選択肢のパターンを,全て試行しているようだ.それで最終的に書き込みに成功している.

ムキャア!

まぁ確かに,選択肢は<select>で表示していてソースを見れば全選択肢のvalueが判るので,その組み合わせを全て試せば,書き込みに成功する.なるほど.

結局敗因は,
-色選択が<select>なので,入力させたいvalueがHTMLソースに書かれている
-色の不一致で書き込みに失敗しても正解の色が再生成されないので,繰り返すとそのうち必ず正解に一致する

という感じか.

負けまセン!


© 2020 KMIソフトウェア