【F-board】PHP-J閉鎖【スパム】 (57レス)
【F-board】PHP-J閉鎖【スパム】 http://medaka.5ch.net/test/read.cgi/php/1147554277/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
25: nobodyさん [sage] 2006/06/04(日) 04:12:20 ID:??? セキュリティーホールがあったの?スパムに狙われてるだけ? http://medaka.5ch.net/test/read.cgi/php/1147554277/25
26: nobodyさん [sage] 2006/06/04(日) 11:25:03 ID:??? >>25 セキュリティーホールはないよ http://medaka.5ch.net/test/read.cgi/php/1147554277/26
27: nobodyさん [] 2006/06/04(日) 11:33:46 ID:gUzo7/y/ メッセージを投稿する部分を改造する場合、 /post.php /lib/widget/default/WidgetPost.php をいじればいいみたいですね。 WidgetPost.phpのコード(WidgetPostクラス)を見ると、HTMLが埋め込まれているので、トレースするのがちょっと面倒くさいです。 デザインテンプレートシステムを導入して、デザインとロジックを分離した方がメンテナンスしやすいですね。 http://www.itmedia.co.jp/enterprise/0402/19/epn01.html http://medaka.5ch.net/test/read.cgi/php/1147554277/27
28: nobodyさん [] 2006/06/04(日) 12:06:24 ID:gUzo7/y/ >>24 ●投稿時の入力項目として、チェックボックスを一つ追加する方法を検討 (1) チェックボックス(□にレ印を入れるやつ)の表示を追加する /lib/widget/default/WidgetPost.php の175行目付近(パスワード入力欄の表示位置の直下)に、 $htmlString .= ' <tr> <td class=row1><b>投稿確認</b></td> <td class=row2><input type="checkbox" name="confirm">投稿時にチェック(レ印)を入れてください。</td> </tr>'; というコードを追加する。 =「confirm」という名前のチェックボックスを1個追加した。 =違う場所に表示させたければ、コードを追加する場所を適宜変更 http://medaka.5ch.net/test/read.cgi/php/1147554277/28
29: nobodyさん [] 2006/06/04(日) 12:07:32 ID:gUzo7/y/ (2)スレッドに新規投稿時の確認処理追加 投稿ボタンをクリックすると、 <form action="post.php" method="POST" name=message> <input type="HIDDEN" name="act" value="submitThread"> という動作になっている。 /post.php の112行目付近に、 $confirm = PreVar::getVar('confirm','POST'); というコードを追加する。 =(1)で追加した「confirm」の値のチェック処理を追加 /post.php の124行目付近に、 $fv->isEmpty($confirm,'投稿確認が未チェックです。'); というコードを追加する。 =チェックボックスにチェックが入力されていない場合、エラーメッセージを表示させる処理を追加 http://medaka.5ch.net/test/read.cgi/php/1147554277/29
30: nobodyさん [] 2006/06/04(日) 12:08:27 ID:gUzo7/y/ (3)スレッドに返信時の確認処理追加 投稿ボタンをクリックすると、 <form action="post.php" method="POST" name=message> <input type="HIDDEN" name="act" value="submitReply"> という動作になっている。 /post.php の198行目付近に、 $confirm = PreVar::getVar('confirm','POST'); というコードを追加する。 =(1)で追加した「confirm」の値のチェック処理を追加 /post.php の210行目付近に、 $fv->isEmpty($confirm,'投稿確認が未チェックです。'); というコードを追加する。 =チェックボックスにチェックが入力されていない場合、エラーメッセージを表示させる処理を追加 http://medaka.5ch.net/test/read.cgi/php/1147554277/30
31: nobodyさん [] 2006/06/04(日) 12:11:23 ID:gUzo7/y/ 以上の3点の修正で、投稿時にチェックボックスの入力項目(レ印)が1個追加できます。 チェック方式を変更する場合、 /lib/class_FormValidator.php のFormValidatorクラスに、新たなメソッドを追加すればOKだと思います。 上記(1)〜(3)のチェックは、FormValidatorクラスのisEmptyメソッド(空値のチェック)をそのまま利用しています。 http://zapanet.info/blog/item/747/catid/17 ・投稿前にランダムに文字列画像を生成して、その文字列を投稿者に入力してもらう これをやるなら、PEARライブラリのCAPTCHAとかを利用できそうですね。 http://www.doyouphp.jp/sample/sample_others_captcha.shtml CAPTCHA α版のセキュリティは、まだ十分ではないようですが。 http://cl.pocari.org/2006-02-11-2.html 他の改善案があれば、報告よろしくお願いします。m(_~_)m http://medaka.5ch.net/test/read.cgi/php/1147554277/31
32: nobodyさん [sage] 2006/06/04(日) 12:16:27 ID:??? >>31 ワンタイムチケット持たせりゃ良いんじゃない? 2ch見たくクッキー喰わせるだけでも・・・ 利用者は何も変わらないし http://medaka.5ch.net/test/read.cgi/php/1147554277/32
33: 31 [] 2006/06/04(日) 13:04:02 ID:gUzo7/y/ >>32 kwsk!! 【補足】 /lib/widget/default/WidgetPost.php の165行目付近 if($this->_var['allowPass'] == true || $messInfo != ''){ … } みたいなかんじの条件分岐を入れて、チェックボックスの表示/非表示を切り替える処理があった方がよかったみたいですね。 =メッセージの編集/削除の処理では、チェックボックスの値確認処理(上記の(2)や(3)のような処理)を入れてないので、チェックボックスが表示されても意味なし。 まぁ、新規投稿時に、ワームによる自動書込みが抑止されればそれでOKとしますか。orz http://medaka.5ch.net/test/read.cgi/php/1147554277/33
34: nobodyさん [sage] 2006/06/04(日) 13:15:00 ID:??? >>32 スパマーがクッキー食ってたら意味無いような?? >>31 逆襲さん、おつかれ http://medaka.5ch.net/test/read.cgi/php/1147554277/34
35: nobodyさん [] 2006/06/04(日) 13:17:17 ID:gUzo7/y/ >>ワンタイムチケット CSRF対策 PHP http://techtech.jp/jdl/weblog/blog/1383/1051 サテ技本のCSRF対策に疑問 http://p0t.jp/mt/archives/2005/12/csrf_1.html ↑こういう処理を追加すればいいのかな? http://medaka.5ch.net/test/read.cgi/php/1147554277/35
36: nobodyさん [sage] 2006/06/04(日) 13:51:29 ID:??? >>34 ワンタイムチケットなら毎回投稿画面を開かなきゃダメなので効果はかなりあるかと >・投稿前にランダムに文字列画像を生成して、その文字列を投稿者に入力してもらう これはかなり解りにくい画像を作らないと、昔の垢取りツールでも、画像解析あったし・・・ どの道、人がやれる事なのでコンピュータにやらせることも不可能じゃないので完璧な対策は難しいと思う なので、簡単で比較的効果の高そうな方法が良いかと #f-boardぐらいならスクラッチしちゃっても良いんじゃないかと思ったり http://medaka.5ch.net/test/read.cgi/php/1147554277/36
37: nobodyさん [sage] 2006/06/21(水) 13:37:39 ID:??? >>35 第三版で修正されてるよ。 http://medaka.5ch.net/test/read.cgi/php/1147554277/37
38: nobodyさん [sage] 2006/07/20(木) 08:20:23 ID:??? ※下記ホストをアクセス規制するとマジでいいです。 *marunouchi.tokyo.ocn.ne.jp *.d-osaka.nttpc.ne.jp *.o-tokyo.nttpc.ne.jp *.osk.mesh.ad.jp *.dy.bbexcite.jp *.vectant.ne.jp *.ap.highway.ne.jp *.fbb.reset.jp *.ppp11.odn.ad.jp *.channel4.com *.ap.gmo-access.jp *.ap.kagoya.net *.ap.yournet.ne.jp http://photo.site-j.net/tubuyaki/vol239.html http://medaka.5ch.net/test/read.cgi/php/1147554277/38
39: nobodyさん [] 2006/08/25(金) 09:56:00 ID:23HGiUnU スパムがチェックボックスに対応してきたヨカンが http://medaka.5ch.net/test/read.cgi/php/1147554277/39
40: nobodyさん [sage] 2006/08/25(金) 15:58:59 ID:??? >文字列画像を生成して、その文字列を投稿者に入力してもらう そこで、ひらがなさんすうですよ。 りんごよんこふたりでわけるとひとりいくつ?[__]個 http://medaka.5ch.net/test/read.cgi/php/1147554277/40
41: nobodyさん [sage] 2006/08/25(金) 19:27:20 ID:??? にじゅうさんひくきゅうは? とかね。 頭があれだといつまで経ってもコメントできないけどw http://medaka.5ch.net/test/read.cgi/php/1147554277/41
42: nobodyさん [] 2006/08/26(土) 06:31:13 ID:XSjvDqhW >>36 自分の場合はPerlなんだけどgifcat.pl(画像連結)とcrypt(DES暗号)で、 そういうの作ったんだけど、1ヶ月で突破された(;´Д`) やっぱIPと禁止ワードで極め撃ちするしかないかなぁ http://medaka.5ch.net/test/read.cgi/php/1147554277/42
43: nobodyさん [sage] 2006/08/26(土) 13:48:10 ID:??? >>41 彼女のおかげで勝てました http://medaka.5ch.net/test/read.cgi/php/1147554277/43
44: nobodyさん [sage] 2006/09/02(土) 16:58:46 ID:??? ttp://www.php-j.com/ http://medaka.5ch.net/test/read.cgi/php/1147554277/44
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 13 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.450s*