gpt4 book ai didi

security - 如何应对针对注册表单的攻击?

转载 作者:行者123 更新时间:2023-12-02 19:09:41 26 4
gpt4 key购买 nike

注册流程问题

我正在考虑电子邮件验证,并且正在玩一些应用程序。如果怎么办

-) 攻击者编写一个脚本,使用不同的随机电子邮件地址注册数百万个帐户(所有现有的,人们的电子邮件)然后当人们注册时,它会提示电子邮件已存在于数据库中?

-) 或者更简单,如果用户使用其他人的电子邮件地址注册怎么办?注册Ajax触发创建用户id和信息到数据库中的用户表中,但验证没有完成。

但是,当具有电子邮件地址的“真实”用户注册时,电子邮件已被占用...?因为数据库中不能同时存在 2 个电子邮件地址(因为脚本不会被使用)能够区分用户......

最佳答案

首先,您应该尝试检测同一IP是否在短时间内向您发送多个注册请求,并将其列入黑名单(至少一段时间内)。

其次,即使发送了验证电子邮件 - 您可以做很多事情来避免“重复注册”问题,以下是一些示例:

  1. 每天运行一次清理作业 - 删除超过 24 小时未验证其帐户(通过电子邮件)的用户的所有条目
  2. 在用户验证其注册之前不要创建用户帐户(您可以在另一个表中创建条目:例如 UNVERIFIED_USERS)。通过这样做,您可以确保在发生此类攻击时减少现有用户的延迟 - 因为 USERS 表不会被修改。
  3. 如果用户尝试注册并且他/她已经“拥有帐户”,您应该允许用户通过发送另一封带有执行此操作的链接的验证电子邮件来重置密码。
  4. 您可以使用类似 captcha 的解决方案在注册表中 - 防止此类攻击。现在有可以绕过验证码的智能机器人,所以您也可以寻找captcha-alternatives

关于security - 如何应对针对注册表单的攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30230446/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com