Поддержка invisible reCaptcha v3.0

  • Resolved azzz999

    (@azzz999)


    5 years, 8 months ago

    Приветствую, столкнулся с такой проблемой.
    Отправка спама через форму “Купить в один клик”.
    Бесконечное кол-во писем парализовало работу магазина, не понятно, какие письма от клиентов, какие от спам бота.
    Причина, возможность бесконечно, повторять один и тот же XHR (feedback) и отправлять бесконечное число писем. Через POWER SHELL или CURL. Также есть возможность подменять текст, который приходит в письме и даже тот, который попадает в woocommerce и создаёт заявки (если нажата галка создать заказ), есть подозрение, что вместо заказа, можно занести на сайт вредоносный код (это теория, она не проверялась). Так как форма загружается в ajax и пока не нажата кнопка, её нет на сайте, стандартная recaptcha contact form 7 не работает. Прошу добавить поддержку reCaptcha v3.0

Viewing 3 replies - 1 through 3 (of 3 total)
  • Plugin Author Artem Abramovich

    (@artabr)

    Доброго!
    Откуда такая информация?

    Причина, возможность бесконечно, повторять один и тот же XHR (feedback) и отправлять бесконечное число писем. Через POWER SHELL или CURL.

    Как-то логика хромает, как может отправляться форма, если ее нет на странице, до момента нажатия на кнопку. Можете приложить ссылку на страницу где работает плагин? Надо посмотреть в чем дело

    Thread Starter azzz999

    (@azzz999)

    Речь идёт не о конкретно спаме от роботов (за всё время не было не одного письма со спамом), скорее о злом умысле с котором я столкнулся, дав коллеге ссылку на сайт))

    Первый раз я коряво описал, вот порядок действий, который он мне изложил:
    1 Зайти на сайт с формой.
    2 Открыть “Посмотреть код” вкладка “Network”.
    3 Открыть форму кнопкой.
    4 Отправить заполненную форму.
    5 Во вкладке “Network” появится XHR feedback.
    6 Кликнуть на него правой кнопкой и выбрать пункт “Скопировать в POWER SHELL”.
    7 Оnкрыть в windows POWER SHELL.
    8 Вставить туда скопированный ранее запрос.
    9 Чтобы просто насолить, можно поставить повторение cron до бесконечности (не понятно кому это надо, но есть и такие).
    10 Если пойти дальше, то можно изменить отправляемые данные под себя. При изменении “ID” изменяются данные, которые заносятся в woocommerc, тут возникла теория, что если туда закинуть сторонний код “echo …”, такой эксперимент не проводили, так как продуктив.
    11 Соответственно можно сильно насолить отправляя текст письма с рандомными именами и телефонами, не будет понятно, кто реальный клиент, кто нет (например, чтоб парализовать работу магазина).
    Аналогично ведёт себя и Contact Form 7 БЕЗ рекапчи

    У Contact Form 7 с рекапчей, такое не проканало.

    • This reply was modified 5 years, 8 months ago by azzz999.
    Plugin Author Artem Abramovich

    (@artabr)

    Это и в прям злой умысел. Это не спам, это целенаправленная атака. Алгоритм больно сложный для бота.
    Алгоритм повторил, да есть подобное, но такое можно сделать с любым ajax запросом на сайте, не только с этим. Например, добавление товаров в корзину на странице архивов. Так что, мало может помочь в данном случае. Если задаться целью что-то сломать, то ничего не поможет.
    п.10 смоделировать не удалось. Команда echo – пхп-команда. Может если использовать что-то из линуха, тогда можно что-то добавить. Да и при изменении ID мало что изменится,в ВП нумерация ID сквозная для любого типа записи, так что сложно будет попасть именно в заказ, даже если рядом номера использовать. Система просто не найдет заказа c таким ID.

    И последнее, проверил работу рекапчи. Версия 3 работает без проблем.
    Вы сами проверяли работу рекапчи на сайте? Именно версии 3?

Viewing 3 replies - 1 through 3 (of 3 total)
  • The topic ‘Поддержка invisible reCaptcha v3.0’ is closed to new replies.