И это коенчно же были злые иностранцы и ниразу не с московских проксей их парсили )))
Зашел с телефона, куки с компом синхронизируются, опять капча. И вот оно надо юзерам с телефона это вводить, напрягая мозг, последнее это Q или зачеркнутые 0 и O думать, ошибаться и вводить по новой...
Кстати антиботом (бесплатной версией тоже) еще можно искать уязвимые места. В вордпрессе так не раз находили хитро запрятанные лазейки, которые не могли найти до этого годами. Суть:
все что не должно быть доступно через веб - закрываем в хтасесе. Все остальные доступные через веб скрипты в самом начале должны иметь инклуд антибота. И дальше просто смотрим лог антибота (включив в нем максимально все логи, это визуально понятнее и приятнее, чем смотреть acccess.log стандартный апача). Кто куда обращался в странные места. И потом изучаем те обращения, могли ли они вызвать недокументированные возможности на сайте. А т.к. уязвимости в оснонвом эксплуатируются примитивными запросами из серверного софта, а не браузером полноценным, то получается часто так, что дырка как бы есть, но у хакерского ботнета не получается эксплуатировать уязвимость, потому что их бот запрос не проходит антибота.
если шелл в картинке - все загружаемые картинки нужно прогонять через ресайз, т.е. типа пересоздание графического файла, а не тупо получил картинку и положил ее в исходном виде на сервере. Тогда точно никакую фигню этим не загрузят.
Готового скрипта нету, но суть: смотрим через getimagesize тип картинки, в зависимости от типа открываем его функцией imagecreatefromjpeg и т.п., дальше сохраняем через imagejpeg. Все, гарантированно у тебя будет картинка настоящей картинкой, если это была не картинка, то обработка выдаст ошибку. Ну и заодно изменить размер, качество, exif данные и т.п. обработать и оптимизировать картинку.
Это не от антибота. В нем все под контролем.
Картинки откуда? Содержимое файла проверяется при загрузке чтоб там внутри небыло xss вместо картинки? Через getimagesize и прочие функции.
Для тех, кто не хочет ставить какието непонятные защиты как у непонятных сайтов, палю пример защиты как у сайта из Топ 62 сайтов рунета по версии Alexa Rank. Это вам не какой-то антибот, в котором 10% посетителей нужно сделать 1 клик по кнопке.Встречайте, сайт мвидео, при каждой сессии (или если куки потереть) всем иностранных ip без разбора и рейтинга выдает полноценную капчу, да букв и цифр побольше, чтоб надежнее:
