我们在一个相当大的网站上遇到了一个带有垃圾邮件机器人的问题。看起来机器人正在创建用户帐户,然后发布导致各种垃圾邮件链接的日记条目。
看来他们以某种方式绕过了我们的验证码——要么它已被破解,要么他们正在使用另一种方法来创建帐户。
我们希望为这些帐户进行电子邮件激活,但距离实施此类更改还有大约一周的时间(由于日程繁忙)。
但是,如果他们在站点的某处使用 SQL 漏洞利用并执行整个跨站点脚本操作,我觉得这还不够。所以我的问题是:
如果他们正在使用某种 XSS 漏洞,我该如何找到它?我正在尽我所能保护语句,但同样,它是一个相当大的站点,我需要一段时间来积极清理 SQL 语句以防止 XSS。你能推荐什么来帮助我们的情况吗?