Tema: seguridad web
Ver Mensaje Individual
  #61 (permalink)  
Antiguo 29/08/2013, 16:14
webankenovi
Invitado
  
Mensajes: n/a
Puntos:
Respuesta: seguridad web
CAPITULO 11

ANTI-SPAM

Definicion spam

Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming.

Aunque se puede hacer spam por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico. Otras tecnologías de Internet que han sido objeto de correo basura incluyen grupos de noticias, usenet, motores de búsqueda, redes sociales, páginas web wiki, foros, web logs (blogs), a través de ventanas emergentes y todo tipo de imágenes y textos en la web.

Ademas de enviar spam de tipo publicitario existen otros tipos como el malicioso , intentar introducir mensajes con codigo malicios para infectar a los usuarios que accedan a ver dicho mensaje , por lo cual es una parcela que deberemos proteger, existen varias medidas voy a enseñar 4 de ellas , que se pueden usar en combinacion


1 Creamos un nuevo campo en el formulario y lo ocultamos con hidden

Código HTML: 
Ver original
  1. <input type="hidden" value=""  name="comment">

1.1. Verificamos en la pagina de verificacion de los datos del formulario ( donde envio los datos el formulario ) que el campo no se relleno

Código PHP: 
Ver original
  1. if( $_POST['comment'] !== '' )
  2. {
  3.  
  4. exit(' Comentario calificado como spam ');
  5.  
  6. }


eso es todo sobre este proceso , que simplemente dice que: si alguien rellena un campo oculto le bloqueo el acceso , por ende un usuario no deberia de ver ese campo ,mientras que un bot si lo vera y lo rellenara, esa es la trampa , aunque a dia de hoy pienso que este sistema ya no es muy efectivo.


2 Creamos un campo de texto y lo ocultamos como anteriormente pero lo ocultamos esta vez con css
Código HTML: 
Ver original
  1. <input type="text" value=""  id="comment" name="comment" />

css:

Código CSS: 
Ver original
  1. input#comment { display:none; }

o esta otra opcion que encontre en un blog hace poco.

Código CSS: 
Ver original
  1. input#comment {
  2.  
  3.     overflow:hidden;
  4.     height:1px !important;
  5.     float:left !important;
  6.     margin:0 !important;
  7.     padding:0 !important;
  8. }

Para verificar usamos la misma verificacion que en el ejemplo 1


3 Usar captcha , el mas conocido es re-captcha , aqui os dejo el link para que lo probeis , tambien podeis realizar vuestros captchas os animo a que programeis vuestros propios catchas , eso si usa una buena logica.

4 Usaremos un buscador de palabras prohibidas en los comentarios



Código PHP: 
Ver original
  1. function antispam($var){
  2.  
  3.  
  4.         $palabras = array(
  5.      
  6.         '1' => 'Gratis',
  7.         '2' => 'Gane' ,
  8.         '3' => 'dinero',
  9.         '4' => 'Ahorre',
  10.         '5' => 'ventas',
  11.         '6' => 'Sexo',
  12.         '7' => 'Promocion',
  13.         '8' => 'cobro',
  14.         '9' => 'Compre',
  15.         '10' => 'llame',
  16.         '11' => 'Viagra'
  17.      
  18.     );
  19.      
  20.     foreach ($palabras as $val )
  21.     {
  22.  
  23.     if(stristr(strtolower($var), $val) !== false)
  24.     {
  25.         return true;
  26.     }
  27.      
  28.     }
  29.      
  30.     return false;
  31.      
  32.     }
  33.      
  34.  
  35. // buscaremos en cualquier variable que queramos si existe alguna palabra de la lista
  36.  
  37. // verificamos usando la funcion
  38.  
  39.     if( antispam($_POST['mensaje']) === true )
  40.     {
  41.      
  42.     exit('comentario calificado como spam');
  43.      
  44.     }



Estas opciones y la funcion son tan solo ejemplos para entender el funcionamiento y comportamiento , puedes usar muchas otras funciones , cambiar las formas de hacer las cosas , lo importante no es copiar y pegar , si no que entiendas como funciona y creen sus propios sistemas.

Eso es todo sobre el capitulo 11 , te recomiendo hacer una combinacion de la opciones para conseguir detectar mas spam, si sabes otras maneras o mejorar lo expuesto o solo deseas mostrar tu opinion por favor exponlo.


Saludos nos vemos nuevamente con el capitulo 12.

1 - proteger directorios :link http://www.forosdelweb.com/f18/segur...ml#post4410846
2 - mensajes de error : link http://www.forosdelweb.com/f18/segur...ml#post4412140
3 - archivo de configuracion : link http://www.forosdelweb.com/f18/segur...ml#post4412159
4 - permisos y roles : link http://www.forosdelweb.com/f18/segur...ml#post4412275
5 - verificacion de archivos : link http://www.forosdelweb.com/f18/segur...ml#post4412596
6 - configuracion de sessiones : link http://www.forosdelweb.com/f18/segur...ml#post4416219
7 - session hijacking : link http://www.forosdelweb.com/f18/segur...ml#post4419281
8 - hash de contraseñas : link http://www.forosdelweb.com/f18/segur...ml#post4421471
9 - inyeccion sql : link http://www.forosdelweb.com/f18/segur...ml#post4451398
10 - cross site request forgery : link http://www.forosdelweb.com/f18/segur...ml#post4464062