実戦的スパムや荒らし防ぐ方法一覧、画像認証よりユニークな方法

もしも、人気掲示板やアカウント作成ページになにも規制がなかったら有象無象、厨二から変なおっさんまで荒らされ放題です。

なにがしたいのかわけがわからないですがたぶんアカウントとかいっぱい作ったりしますw

 

このようなことが起きないようにほとんどのページではセッションや画像認証などざまざまな規制が施されています。

規制するということは悪意のないユーザーを犠牲することも多くます。

実際に時間規制を上げたとすると超人気掲示板でチャットレベルに盛り上がっていても、時間規制で待たないと投稿できないしと過疎になります。

クッキーを取得しなければならない規制だとクッキーOFF設定にしている人、クッキーをONにしたくなくてやっている人は投稿できなくなります。

 

例えば画像認証って、人間が読めないレベルのものもあり、わずらわしいと思った経験がある方も多いはずそこで今回は番組の最後に画像認証と組み合わせたり

組み合わせなくてもユニークで効果的な規制を紹介します。

 

その前に段階を追って様々な規制があることを紹介したいと思います。

 

今回は僕の経験を交えて書いていきますので実践というより実戦ですw

実際にノーガード主義だった僕は時間規制などをしていなくて一瞬で3万スレッドほど立てられたこともありますw

 

書き込みパス

書き込むたびにパス要求されたりします。

もはや掲示板として終わっていると思いますw

時間規制


時間規制が行われます。

意外にも端末ごとに時間をカウントしている掲示板などが見受けられますが、最新投稿からカウントすると複数の端末や自動IPアドレス切り替えがあった場合に対応できます。

同一文字規制

同じ内容の投稿を規制します

最初から乱数などを入れてくる場合もあります

書き込み禁止、アクセス禁止

PCはIPを使って規制します。
スマートフォンはバックグラウンドで乱英数クッキーを生成で固有IDを割り当てます

PCもプロバイダーによってはIPが切り替わったりするので、乱英数クッキーを割り当てておくといいかもです。

個人情報保護の観点から端末からの固有ID送信はないということでしたが最近では個別に規制もできそうです。

iOS/Androidで端末を識別するIDまとめ

携帯に関しては規制が少し特殊です。

ケータイの端末ID・ユーザIDの取得についてまとめてみました

 

ですが、これだけだと他人に強制投稿させたり
IPを切り替えて投稿すれば外部から自動投稿などが可能です

手間が凄い割に効果は薄かったりします。

セッション

セッションとは、ランダム英数字などをなんらかのアクセス情報に付与することで、

サイト上で正規のルートを辿ってきたアクセスかを判別します。

なので外部スクリプトなどの自動投稿を防げる予定ですが、アクセス情報に付与するとなんらかの形で見えてしまうので読まれればそれまでです。

リファラ規制

そこでリファラによる規制をします。
外部フォームや
リファラ規制も意外に簡単に突破されました。

 

ここまでで大多数の攻撃は防げるでしょう。

ここまでのレベルに達した人が個人掲示板を標的に悪さをするのは稀だとおもいます。

が、僕は攻撃を受けましたし、攻撃をされているのもみましたw

とあるSEの方が掲示板の脆弱性チェックだといってあちこちで遊んでいたときですw

画像認証

よくある画像認証の登場です。

画像認証ウザイといわれながらユーザビリティを著しく欠いたにも関わらず突破されます。

ユーザーに見やすいように考慮した結果です

ドラえもん認証、アンパンマン認証

まず画像認証の悪いところは攻撃者に画像を晒しっぱなしにしていて解析してくださいといっているようなものです。

仕様さえバレなければ意外にもいまから紹介する方法でユーザーにも遊びを入れながら規制できます。

おふざけで作った規制ですが

表示された画像がドラえもんかアンパンマンか答えさせるだけです。

ただし条件があります。

例えば同一IPから100個のスレが立っていたらこの認証が発動、ドラえもんの画像が出てきて

答えを聞く

さらに段階的に200個になるとアンパンマン出てきて答えさせる

アンパンマンかドラえもんか答えないといけないという規制です

このようにするとスレが規制数に立った時しか仕様を把握できません

この規制数は管理画面から簡単に変更できるので、規制数はわかりにくくなります。

 

攻撃しようとプログラムを拵えますが最低でも一回目はこれで防げますw

これだと2択ですのでフォームの部品さえわかってしまえば実は一瞬で終わりますw

プログラミング最初の一歩、超初心者向けにHTMLフォームの使い方を書いていく

 

今回は遊びだったので、単純でしたが、画像認証の文字を減らしたり増やしたりフォントを変えたりといった動きに切り替えるとより完璧になります。

一部切り取り規制

意外にも同じ文字列を単純に書く人は多いです。

タイトル名を完全一致で比較する文字規制が一般的ですが、それだとプログラムで乱英数を混ぜる

「うさちゃんねるフロンティア….2123」

「うさちゃんねるフロンティア….9044」

のようにリクエストすれば、とおってしまいます。

なので、ちゃんねるフロ フロン

のように一部を切り取ってやればいいです。

そしてこういったエラーに親切に「同一文字規制」などとまともなエラーをのは親切としかいいようがないので単純に エラー と吐けばいいかなとおもいました。

 

いじょうで今回は終わりますw

もし掲示板等で規制したくなったらまた来てくださいw

コメント

タイトルとURLをコピーしました