Como posso tornar todos os meus sites acessíveis apenas por navegadores e não por scripts automáticos

Como posso tornar todos os meus sites acessíveis apenas por navegadores e não por scripts automáticos

Descobri que meus sites foram invadidos por algum funcionamento automático libwww-perl BOT/0.1 (BOT for JCE)eGecko/20100101

Existe alguma maneira de todos os meus sites estarem disponíveis apenas para navegadores genuínos e não para esses scripts automatizados.

Responder1

Não, você não pode garantir que seus sites estejam disponíveis apenas para navegadores genuínos. Isso ocorre porque as únicas fontes de dados de que você precisa para determinar a plataforma do cliente e o navegador da web são os cabeçalhos de solicitação, que podem ser completamente falsificados por hackers.

Por exemplo, um hacker pode usar uma ferramenta como o Fiddler para enviar uma solicitação HTTP personalizada ao seu site com um User-Agentcabeçalho de solicitação forjado que se parece com o Internet Explorer, Chrome, Firefox, Googlebot ou algum outro cliente HTTP. Assim, é muito difícil, se não impossível, distinguir um hacker de um usuário legítimo com base nos dados de solicitação HTTP.

Responder2

Eu poderia lhe dar listas de inúmeras defesas que você poderia colocar (limitar agentes de usuário, fazer seu conteúdo aparecer usando JavaScript a partir de arquivos XML, captchas - que ótima maneira de irritar seu público!), mas elas só vão evitar o inevitável enquanto eles descobrem como contorná-los.

Seria melhor cravar uma estaca no coração do problema, em vez de tentar colocar defesa após defesa no lugar. Se você puder, dê uma olhada no aplicativo e tente descobrir como eles conseguiram entrar e tente consertar os buracos. Os lugares mais óbvios para procurar são as entradas do formulário - elas são passadas para strings SQL sem serem analisadas primeiro? Eles estão gerando strings SQL em vez de usar instruções preparadas (que eliminam as tentativas de injeção de SQL desde o início)? Se for algo que você pode consertar, faça. Se for o produto de outra pessoa, crie um patch e envie para essa pessoa.

A pior coisa que você pode fazer em segurança é presumir que isso não acontecerá com você. Worms, vírus e autobots geralmente não são inteligentes o suficiente para perceber que seu pequeno site não é uma ameaça.

Seja inteligente, esteja seguro, esteja atento.

informação relacionada