gpt4 book ai didi

security - 阻止机器人攻击服务器端解决方案(无需验证码或 JavaScript)

转载 作者:行者123 更新时间:2023-12-02 22:17:35 24 4
gpt4 key购买 nike

我继承了一些最近受到重复远程表单提交攻击的代码。

最初,我通过设置唯一的 session 身份验证 token (而不是 session ID)来实现一些保护。虽然我意识到这种特定攻击不是 CSRF,但我根据这些帖子(尽管已过时)调整了我的解决方案。

我还阅读了有关 SO 的现有帖子,例如 Practical non-image based CAPTCHA approaches?

但是,攻击者现在首先请求表单页面,启动有效 session ,然后在以下 POST 请求中传递 session cookie。因此拥有有效的 session token 。所以我失败了。

我需要采取一些额外的预防措施。如果可能的话,我想避免验证码(对用户体验不佳)和 JavaScript 解决方案。我还考虑过引荐来源检查(可以伪造)、蜜 jar (隐藏字段)以及速率限制(可以通过限制来克服)。该攻击者非常顽固。

话虽如此,什么是更强大的解决方案。

最佳答案

如果有人专门攻击您的页面,那么您需要找出该攻击者与普通用户的不同之处。

如果他向您发送某些 URL 或文本或类似内容的垃圾邮件,请在提交后将其阻止。

您还可以隔离提交的内容 - 比如说 5 分钟内不要让它们消失。在这 5 分钟内,如果您收到来自同一 IP 的另一次提交的同一表单 - 丢弃这两个帖子并阻止该 IP。

如果您使用好的验证码,验证码就很好,因为许多自定义的自制验证码现在可以由专门制作的软件自动识别。

总而言之 - 您的问题不仅需要技术,还需要更多的社交解决方案,旨在压制机器人大师而不是阻止机器人发帖。

关于security - 阻止机器人攻击服务器端解决方案(无需验证码或 JavaScript),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7000124/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com