Home » Web Security für Webmaster » Wordpress Spam Math Comment Spam Protection schwach » Themenansicht

Wordpress Spam Math Comment Spam Protection schwach
#0
06.01.2008, 18:17
Laserpointa
Member
Avatar Laserpointa

Beiträge: 2176
#1 Hallo,

ich bin gerade über folgenden Blog Eintrag gestolpert, der mal wieder hervorragend demonstriert, wie schnell sich schlampige Software (nicht angepasst) durchsetzt und wie schnell Sicherheitslücken ausgenutzt werden können:

http://webmaster-verzeichnis.de/blog/math-comment-spam-protection-plugin-mit-5-zeilen-geknackt/

Greetz Lp
Dieser Beitrag wurde am 07.01.2008 um 13:38 Uhr von Laserpointa editiert.
Seitenanfang Seitenende
07.01.2008, 09:25
asdrubael
Member

Beiträge: 3306
#2 Die "Schlampigkeit" basiert viel mehr auf Nutzern die das Plugin out of the box verwenden und kein bisschen anpassen:
http://karl-tux-stadt.de/ktuxs/?p=730

Zitat

Wer ein klein wenig nachdenkt, findet die Schwachstelle dieser Methode. Ich zähl hier mal nur ein paar Möglichkeiten auf: = , SUM, Summe, Ergebnis, addiere. Es gibt verdammt viele Möglichkeiten was an der Stelle stehen könnte. Auch ein Bildchen an der Stelle wäre eine Möglichkeit, was wenn man die Felder umdrehen würde? Verdammt viele Sachen die der Programmierheld da abfangen muss.

Die nächste Schwachstelle seiner Möglichkeit ist die Umwandlung des gefundenen String in ein Integer. Was wenn da jetzt wirkliche Strings stehen, z.B. vier oder IV statt 4? Dürfte auch nicht mehr funktionieren… Hier würde ich mich eher für die Variante mit den römischen Ziffern entscheiden. Mit den Zahlwörtern ist nur noch eine kleine Menge Zahlen möglich “neunzehn” + “achtzehn” scheint mir dann langsam zu lang zu werden…. Auch hier gebe es die Möglichkeit des Einsatzes von Bildchen, ähnlich wie Captchas (ich hasse die Dinger weil ich die so schlecht sehe)
Wenn man sich nur mal überlegt das Skript auf alle vier Grundrechenarten in je 2-3 Schreibweisen und ca. 5-6 Sprachen zu erweitern ist das ganze schon viel zu langsam und kompliziert. Somit sind Rechenaufgaben oder Fragen ala "Wie lautet der Vorname von Chuck Norris?" weiterhin überaus effektiv gegen Spam Bots. Aber natürlich nur wenn man auch ein bisschen eigenen Hirnschmalz investiert.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
07.01.2008, 13:37
Laserpointa
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2176
#3

Zitat

asdrubael postete
Die "Schlampigkeit" basiert viel mehr auf Nutzern die das Plugin out of the box verwenden und kein bisschen anpassen:
http://karl-tux-stadt.de/ktuxs/?p=730
Du hast Recht, ich korrigiere mein Post oben!
Danke für den Hinweis!

Greetz Lp
Seitenanfang Seitenende
15.01.2008, 11:53
AnitaR
...neu hier

Beiträge: 1
#4 ok, dann werd ich meine wordpress seiten wohl auch mal anpassen müssen ;)

danke für den hinweis...

gruß
__________
Meine Webseite: http://www.bauunternehmen.com
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1