Тестирование контрмеры бота формы
Я - веб-разработчик для веб-сайта, который иногда заполоняется ботами формы. Недавно я получил уведомление об ошибке проблемы с представлением формы, которое должно быть невозможно для пользователя - человека. Вы не можете утверждать, что форма без JavaScript включила, но серверный сценарий получил значение поля формы, которое не позволит проверка JavaScript.
Я подозреваю, что боту формы удалось отправить форму, не выполняя JavaScript, но я не совсем уверен, что это - проблема, потому что у реального пользователя была подобная проблема. Я знаю, как использовать поля ловушки в качестве контрмеры для ботов формы, но я должен протестировать свои контрмеры. Поэтому мне нужен рабочий бот формы для нападения на мою форму, таким образом, я вижу то, чем результат был бы и к verfiy, что мои контрмеры будут работать.
Я думаю, что можно использовать PHP с Завихрением для представления веб-форм, но я не могу найти пример кода. Я предпочел бы использовать фактического бота формы, таким образом, я могу быть уверен, что поля ловушки легко не обходятся.
Кто-либо знает то, что в настоящее время используется для нападения на веб-формы? Как Вы тестируете свои контрмеры, чтобы гарантировать, что они являются эффективными?
2 ответа
Лично я использую расширение FireFox под названием Tamper Data . Вы отправляете форму в обычном режиме, но затем вы можете изменить параметры HTTP (переменные, файлы cookie и т. Д.), Прежде чем она будет отправлена на сервер. Таким образом, вы можете вручную изменить проверенные поля. Вы можете автоматизировать это с помощью PHP и CURL ...
Дело в том, что вы не хотите запускать против него настоящего бота, потому что это проверит только один (может быть, два) метода нарушения вашей проверки. Вы хотите запустить свой собственный, чтобы вы могли протестировать все возможные комбинации, которые только можете придумать. Если вы автоматизируете это с помощью PHP / CURL, вы можете запускать тест с каждым изменением (интеграционный тест), чтобы убедиться, что вы ничего не «сломали» ... Это не должно быть слишком сложно написать, поскольку Функции CURL довольно хорошо документированы ...