Q&A
話題が混ざっているような気がします。知りたいことは「フォーム無しにも ページにアクセスする方法」でしょうか、それとも「多量メール送信に対する対策」でしょうか?
質問内容は1つに絞り込むと、回答が得られやすくなると思います。
起きている問題
1000通ほどの大量のメールが届いた。
メール送信はPHPの「mb_send_mail」を使っている。
セッションを使い、リロード時の多重送信などは防いでいる。
そのため、入力欄を自動でランダムな文字列で埋めるBotのようなものを使っていると予想した。
reCaptchaなどはまだ入れていない。
しかし、Google analytics(以下Ga)ではページビューが増えていなかった。
この場合どうやって大量のメールを送信したのでしょうか。
疑問
ページにアクセスせずにフォームを送信する方法があるのでしょうか?
Botだとしてもアクセスはされるためページビューは増えると思うのですが、ここが間違いでしょうか。
なにかしら方法や対策があれば教えていただきたいです。
ひとまず、そのページおよびフォーム、リクエストへのアクセスを閉じる必要があるのでは。
回答2件
0
たとえば、フォームの項目を直接 Action 先のPHP にPOST メソッドで、送信することで、フォームの入力画面を経由せずに送信は可能と思います。
Google analytics は、フォームのあるページに付けていると思われますので、 Webサーバーのアクセスログを確認すると Action 先の PHP に直接アクセスしているということはないでしょうか?
投稿2020/10/13 02:23
総合スコア25218
0
リクエストは様々な方法で送ることができます。
リクエスト先のURLが分かっていればcURLなどの機能を利用すれば画面にアクセスする必要はありません。
公に提供されているAPIなどはその方式で必要なパラメータを受け取ってそれに応じたデータを返しています。
対策はそのAPIが取られているような対策をすることになるかと思います。
- 不要なパラメータを含んでいないか
- 必要なパラメータを含んでいるか
画面にアクセスしない直接のリクエスト=フォームが管理されているサーバーを経由していない
と言えますので、フォーム画面にアクセスのたびにランダムな文字列を発行しておき、セッションに保存し、セッションに保存された文字列として送られたパラメータが合っているかを確認したり。
用語的には「ワンタイムトークン」とかでしょうか。「CSRF対策」とかでも結構出てきます。
(必ずしもワンタイムではなくても良いらしいです)
ただ、メール送信のフォームとなると他にも脆弱性対策は必要に思います。
「安全なWebサイトの作り方」や俗に「徳丸本」と言われるウェブアプリケーションのセキュリティ関係の資料は確認しておいた方が良いかと思います。
※一定以上の対策ができるまでは、当該機能は閉じておいた方が良いです
投稿2020/10/13 02:51
総合スコア80875
あなたの回答
tips
プレビュー
