|
不知道之前有人转过或看过没有! : c, m& p& f3 E- N7 d1 I
有一句说的很有道理:必须将原来的图象形象验证方式改为软件无法识别的逻辑思维验证方式。 , [: w& J! m: m; b
即使是1+1=?这样的问题注册机同样会束手无策! ( ]7 k$ j1 S+ V
下面作者分析的很不错,推荐有心者仔细看下! - H+ W4 d2 v2 a
: G1 w) X6 v# d0 d9 g$ b
[转贴]
进入Web2.0时代,网络上最多的是什么?垃圾!
垃圾邮件、垃圾广告、垃圾帖子、垃圾博客、垃圾评论、垃圾留言……现在网络无处不在的垃圾信息、重复信息,无时无刻对我们狂轰乱炸,让我们身心疲累,更让那些站长们疲于奔命,重复着“网络清洁工”工作,这不能不说是网络工作者的悲哀!
更可怕的是,群发邮件的软件,暴力营销软件的泛滥,让这种情况变本加厉,垃圾信息并不能让你的网站增加流量,反而让浏览者反感而失去流量。
然而,许多“网站管理系统”的开发者,并没有很好地解决这个问题,让使用这些“网站管理系统”的站长们受到严重的困扰。同时,系统开发者更是首当其冲,典型的例子如:dvbbs、discuz、phpwind、powereasy、oblog……等等,垃圾制造者都是针对成熟的、使用广泛的“网站管理系统”。
难道就没有更好的方法,抵御这些暴力的行为,让站长们任由鱼肉吗?如果系统开发者不去解决这个严重问题,不单自己受到同样的暴力,而且与那些垃圾制造者帮凶无异!在Web2.0发展迅猛的当今,解决这个防护问题比增加系统功能更为迫切!
忘记是那一年,好像是hotmail首先使用验证码的验证功能,于是国内绝大部分的网站都采取验证码的方式,使用得最为“壮观”的当选是腾讯QQ的号码申请了,但是还是防止不了注册机的侵扰,动网的验证码也更换了数次,但暴力营销的软件几乎也同时更新!动易的留言本也由于被自动群发留言软件施暴,大部分站长被迫放弃使用,该功能形同虚设!而php开发的论坛discuz、phpwind本来比较清静,但随着追随者的增加,又成为施暴者目标。oblog更不在话下,从日志、评论、到注册博客ID,都成为攻击的目标,在其官方论坛上,可见站长与开发者都苦于无奈,甚至一些站长因此而关闭网站,让人唏嘘叹息。请看使用oblog系统的凤凰网blog,由于被施暴,充满了垃圾评论、色情评论……
8 T. ^1 b! O2 `& \& J
 此主题相关图片如下:
& }& P) e8 T7 \& \; ?6 h2 f
熟悉OCR软件的朋友,请问上面有哪个验证码是OCR辨别不出来的?现在的验证码只有增加人眼的辨析难度,失去人性化,没有OCR软件分辨不出的验证码。
% p' C7 |' W# A! C% {
) m/ m% O$ D1 N& d' g OCR软件发展到今天,验证码的验证方法早就应该丢弃!
(除了主页登陆尚可使用之外,为页面美观而言)
系统开发者们不是没有去设法解决问题,他们设计了多种多样的验证码模式,想出各种各样的方法制止施暴者的行为,例如:更改文件名和更改路径,注册后限制一定时间后才能发帖,报到贴,邀请码,更可笑的还有限制IP段(自动重拨号IP就会改变),关闭注册(开网站干吗?)等等等等,但至今未能解决实质问题,究其原因,其实就是程序员爱钻牛角尖的性格使然,致力于提高验证码的复杂性。要彻底防止垃圾信息,只要了解施暴的方式,解决方法并不复杂。
首先,归纳一下那些暴力营销软件的功能介绍,至于是否夸大其词只有受害的站长们最清楚了: 0 w# @3 E- l6 T) c
/ {$ R, l3 C# {# ~' W8 X; R* Q
+ B5 l1 I" U7 q7 z7 ^8 ~
; f4 K/ ?- H" s# H
W* x4 C7 f8 B超强性能:发贴速度,可达到令人恐怖的:2-5万个论坛/小时
内置式OCR解码模块,可破解“验证码”。
智能扰码系统,有效对抗“关键字”过虑。
配合adsl动态IP,一般无需使用代理服务器,即可对抗“封杀IP”技术。
结合签名、昵称、个人资料做广告,非常人性化,看不出来是软件发的,一般不会被删。
可预置无限多个帐号,软件运行时自动更换id
可预置无限多个回复语,每次回帖时随机选择一条使用
可以设置间隔时间控制发广告速度
个别论坛由于采用人工审核,或版主删贴,可能无法查证。
部分论坛可能会抵制群发软件,甚至使用一些过激的手段针对发布者,系统增加了“网站过滤”功能,让用户可以自行屏蔽这些论坛,以免引起不必要的纠纷。
博客信息发布内置博客170340个
·自动注册博客账户 ;
·自动分析图片验证码,自动识别发贴验证码,识别率为99.9%;
·自动分析页面发表时间限制 ;
·采用评论方式发表博客文章,避免被删除;
·自动识别新注册用户发表限制,并自动跳过,下次发帖时将会自动读取上次注册用户 ;
论坛信息发布内置论坛16000多个
·自动注册论坛账户,自动识别注册表单.全自动注册论坛账户 ;
·自动生成用户名注册,对于只允许汉字注册的直接生成汉字用户名 ;
·随机生成邮箱注册,避免某一邮箱被禁止注册或不能重复注册 ;
·自动识别论坛防恶意注册,自动填写识别答案 ;
·自动分析图片验证码,自动识别发贴验证码 ;
·随机选择论坛上的任一版块发布,不易被管理员删除。
·自动分析页面发帖时间限制,自动调整线程状态,绝不过多消耗网络资源 ;
·多线程任务处理模式,多个论坛同时发帖;
·自动保存发送进度,下次发送贴子时自动读取进度。完全让你心中有数 ;
·自动轮换发送各个帖子内容到不同的板块,让管理员无法看到你在发垃圾帖 ;
·自动识别新注册用户发表限制,并自动跳过,下次发帖时将会自动读取上次注册用户 ;
留言信息发布内置20万个网站留言本、供求信息港
·对于需要注册的站点自动生成ID注册会员,自动发布;
·自动下载网页分析网页,提取出识别码自动填入;
发布网址搜索
·按关键词搜索发布网址,突破搜索数量局限性;
·自动搜索博客信息发布数据库 ;
·自动搜索论坛信息发布数据库 ;
·自动搜索留言信息发布数据库 ;
·自动搜索商务信息发布数据库 ;
·搜索完成后导出数据库 ;
·多线程搜索,搜索速度更快 ;
邮件地址搜索
·自动、智能的分析每个网页中含有的\"@\"的所有字符串 。
·按关键字搜索:
·按行业搜索邮址:例如搜索软件行业的相关邮址,输入\"软件公司\"、\"软件开发\"等。
·按地区搜索邮址:例如搜索昆明市相关公司邮址,输入\"昆明公司\"、\"昆明网站\"等。
·按地区及行业搜索邮址:例如搜索昆明市软件公司邮址,输入\"昆明软件公司\"。
友情链接登陆900多个网站
·内置自助链接网站900多个;
·在时间内将你的网站外部链接发出;
·有效提高网站在搜索引擎排名;
本系列软件针对数量众多的留言本和中小型论坛,主要是Dvbbs 、Discuz、PHPWind 这3种类型的论坛。可以自己添加相关类型的论坛。
·留言本群发机:操作键单,一键即发。自动循环,自由编辑留言本列表
·通用论坛发贴机:操作简单,一键即发。自由添加删除论坛列表,可发大量中小论坛
·oblog日志群发机:操作简单,一键即发。可以对oBlog这种类型的blog进行申请和发日志
·通用论坛顶贴机:多论坛循环顶,每个论坛自由设定栏目个数,和每个栏目顶帖数量
|
- J+ e o' q9 w% { 从软件的功能介绍以及众多受害站长的情况分析该类软件:
1、施暴对象:较多站长使用的、通用的、成熟的网站管理系统,如:dvbbs、discuz、phpwind、powereasy、oblog等等;人气旺盛的各大网站的社区论坛、帖吧、评论、博客、留言本。
2、施暴手段:利用软件执行自动注册用户、发帖、博客、留言、评论的操作,以及自动登陆自助友情链接,自动搜索邮箱和用户ID并群发邮件和短信息,结合签名、昵称、个人资料发布垃圾的信息广告。受害站长通过人工管理的操作根本无法应付这种状况。
3、施暴技术:使用OCR解码破解“验证码”验证;使用智能扰码对抗“关键字”过滤;使用自动重拨号变更IP解决“屏蔽IP”;使用循环登陆结合预置用户解决发表时间限制;使用预置回复语随机回帖防范水帖垃圾帖的嫌疑;使用随机生成邮箱解决限制同一邮箱重复注册;使用自动填写答案解决防恶意注册……等等。
可见,什么关键字过滤,屏蔽IP,报到帖,限时发帖等等防范手段都是无效,而且花再大的精力增加验证码的辨析难度,对于现在OCR的技术根本是小菜一碟,只会增加浏览者的麻烦,更为难的是那些色盲弱视的人群。要解决问题的实质必须从注册审核着手,其次是发表操作的审核,必须将原来的图象形象验证方式改为软件无法识别的逻辑思维验证方式。
终极解决方法:问题验证!
问题验证应该分为两种:一种是注册时的固定问题验证;另一种是发帖、评论、留言、发表日志使用通用的随机问题验证。以下分别说明:
一、注册时的固定问题验证:
* s- z+ v0 s `
此主题相关图片如下:
* i3 j; M' e6 F9 `
如果启用问题验证功能,用户注册前首先回答问题,填写答案,正确则进入下一步填写详细资料,否则退出,不予注册。而且通过站长灵活运用问题的设置,可以应用在多种类型网站的会员注册。
) L X$ E% R+ N q& A
例一:应用在公司内部或小范围团体的网站可以类似这样设置问题验证:本公司财务部有几人?本公司的出纳姓氏?本公司刘德华的工号?
设置只有内部人员才知道的问题,就可以控制唯有内部人员才能注册。
例二:应用在学校或同一类职业人群的网站可以类似这样设置问题验证:我校建校的年份?我校校庆的月份?我们商会的简称?
设置同一类人群理当应该知道的问题,就可以防止局外人的注册。
3 p4 [' u, ]; r! g8 B( }
此主题相关图片如下:
' n& t5 K2 w7 Q' B
例三:应用在不限注册范围,只为防止注册机自动注册可以这样设置问题验证:中国的英文第一个字母?国庆节在几月份?广东的简称?
例四:应用在绝对排他的目标明确的群体可以类似这样设置问题验证:请输入注册密码?请输入推荐码?等等
由于问题验证是由每一个站长自己设置,还可以随时修改,而且可能是一个问题,或两个,或三个,可能100个网站有数百个答案,而且经过MD5加密,暴力营销软件想再次暴力注册就不可能了,因为问题验证需要人的逻辑思维,软件实现不了,而且这样更灵活更人性化。
我从2003年提议风华同学录采取这种注册方式,运行了三年的同学录基本上没有什么垃圾用户。去年我再次提议动易增加这个功能,后来是增加了,但可惜并不能得到很好的应用,如果你在动易系统启用了问题验证注册的话,用户填写了一大堆资料后,最后才是填写问题验证,验证不通过则白忙浪费时间了,这要给人骂娘的!虽然可以自己修改,但是升级的时候难免增加麻烦,可见动易并不理解或不重视该功能的重要,问题验证注册权限是最优先而非最后!
二、其他操作(包括留言、发帖、评论、日志等)的随机问题验证:
+ W0 T( l6 p8 q& D! d0 F
此主题相关图片如下:
' N" N! A \; n7 J7 a6 L" E. S 站长在后台设置多个通用验证问题和答案,如果注册会员在前台留言、发帖、评论等等操作时,要求输入验证随机问题的答案,只要站长灵活应用问题的设置,可以让用户更方便简单地输入答案,或复制答案(ctrl+c,ctrl+v),例如这样设置问题:请输入1+1的答案?请在答案框内输入“验证”两字?国庆日是1还是2?等等。如下图:
( F; L5 { @# x; l( x# A9 {1 w* j
此主题相关图片如下:
此主题相关图片如下:
) I5 J% s% U! [% a: H4 I
由于每个站长设置的随机问题验证不同,而且前台问题验证是随机出现的,可能100个网站有数千个答案,而且经过MD5加密,暴力营销软件就根本没办法了!因为软件毕竟不能代替人的逻辑思维。
而通过程序来实现以上验证功能,对于编程员来说简直就是轻而易举!何必去追求越来越复杂的验证码呢?不知什么时候能结束这个垃圾信息的时代,期待!
这个方法我在oblog也提过多次,可能没能表达清楚,4.0版本继续使用那种傻瓜式的验证码,已经有不少4.0版本的oblog开始中招了!
动易也意识到这个问题,已经在动易论坛注册时增加了随机问题的验证,虽然阻挡了自动注册,但可惜发帖、回帖没有这个功能,还是被施暴了,见图:
0 e- }8 N+ {& r% K" m1 @
此主题相关图片如下:
( y+ r' A$ v) h. f! D 另外,如果你在任何网页上公布过电子邮箱,那么这个邮箱就废了,因为你会发现该邮箱塞满了垃圾广告,是因为含有“@”的邮箱都会被搜索到,自然就成为施暴的对象了!所以如果要在网页上公布邮箱,只能以图片的形式来公布,或者以“#” 代替“@”,这样你的邮箱才有实际意义。 # U3 D9 A7 l7 e6 l
本来很容易解决的问题,却无可奈何,是思考方向的问题?还是人的惰性使然?我一直有这个想法,却未能实现,现详细列出说明,期望各位朋友参考,是否可行? | 
提升卡
置顶卡
沉默卡
喧嚣卡
變色卡
抢沙发
千斤顶
顯身卡