эти попытки инъекций указаны в моей контактной форме?

Question

У меня на сайте есть почтовый контактный почтовый ящик. Содержимое не хранится в базе данных, но отправлено непосредственно мне. Я получил пару странных контактов в последние несколько дней.

Пользователь должен указать имя, адрес электронной почты, подтвердить тему сообщения и сообщение.

У меня есть система безопасности javascript, которая проверяет, что электронное письмо набирается одинаково дважды, и проверяет @ и точку. Также обязательные поля проверяются с помощью javascript.

Вот самое последнее сообщение - вы можете видеть, что это набор поддельных ссылок и т. Д. Это то, что я должен беспокоить с точки зрения безопасности?

Name: fvjnqazcy

Email: cervau@fbcalj.com

Email confirm: cervau@fbcalj.com

Phone: 47668113220

Subject: uSMvoegKPt

Message: KU17Gd  <a href="http://lsyixbpcjddi.com/">lsyixbpcjddi</a>,
[url=http://sojlxycrnxlb.com/]sojlxycrnxlb[/url], [link=http://wesixtcvuzbj.com/]wesixtcvuzbj[/link], http://dcgfyjhpfpbx.com/

Answer 1

Для меня это больше похоже на спамера. Если у вас больше таких сообщений, чем вы можете обработать, вам нужно добавить CAPTCHA в вашу контактную форму. Я не думаю, что он предназначен для использования потенциальной проблемы безопасности в вашем приложении.

Answer 2

Да, я согласен с Mehrdad, это похоже на случайного спам-бота. Не спрашивайте, почему они это делают; Я не думаю, что есть реальная причина для добавления спама ..

У меня есть система безопасности javascript, которая проверяет, что электронное письмо набирается одинаково дважды, и проверяет наличие @ и точки. Кроме того, обязательные поля проверяются с помощью JavaScript.

Вы действительно не должны делать любых важных проверок с помощью JavaScript. Или, по крайней мере, без тестирования их на стороне сервера.

JavaScript легко отключается, и тогда все ваши проверки не пройдут. Особенно боты никогда не интерпретируют JavaScript, поэтому все ваши проверки не будут выполнены, и весь ввод будет принят как есть.

Для предотвращения спама в целом вы должны постепенно добавлять дополнительные проверки безопасности на стороне сервера. Одним из довольно сложных вариантов является добавление CAPTCHA, но перенос этих проверок на ваш сервер, вероятно, также поможет (учитывая, что бот вводит два разных адреса электронной почты).