先だってのFORM自動解析SPAM投稿だが、普通に考えれば動きはこんなもんだろう。
htmlからFORMのタグを拾ってくる。
hiden指定の変数はそのままPOSTする。
hidenじゃないやつでnameとかそれらしいのは名前を入れたり、
表示エリアが大きかったりスクロールバーがついてる奴が本文と推定したりして、
とにかく全部入力してPOSTする。
つーことは単純にダミーで「投稿中止」なんて欄を付けとけば勝手に入れて返してくるのではじけそうだ。
もう一段厳しくするのはJAVAscriptで投稿確認画面をポップアップして、そこからhiden指定の変数でも書き換えればよいわけだ。
んで解析されたって問題は例の足し算問題の問題がFORMに書かれていることを解析されたのだ。
少なくとも拾ってきたcgiをオリジナルのまま改造無しで使うのを止めればかなり効果は高そうだ。 |