security - 阻止机器人攻击服务器端解决方案(无需验证码或 JavaScript)

Question

我继承了一些最近受到重复远程表单提交攻击的代码。

最初，我通过设置唯一的 session 身份验证 token (而不是 session ID)来实现一些保护。虽然我意识到这种特定攻击不是 CSRF，但我根据这些帖子(尽管已过时)调整了我的解决方案。

• https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29
• http://tyleregeto.com/a-guide-to-nonce
• http://shiflett.org/articles/cross-site-request-forgeries

我还阅读了有关 SO 的现有帖子，例如 Practical non-image based CAPTCHA approaches?

但是，攻击者现在首先请求表单页面，启动有效 session ，然后在以下 POST 请求中传递 session cookie。因此拥有有效的 session token 。所以我失败了。

我需要采取一些额外的预防措施。如果可能的话，我想避免验证码(对用户体验不佳)和 JavaScript 解决方案。我还考虑过引荐来源检查(可以伪造)、蜜 jar (隐藏字段)以及速率限制(可以通过限制来克服)。该攻击者非常顽固。

话虽如此，什么是更强大的解决方案。

Answer 1

如果有人专门攻击您的页面，那么您需要找出该攻击者与普通用户的不同之处。

如果他向您发送某些 URL 或文本或类似内容的垃圾邮件，请在提交后将其阻止。

您还可以隔离提交的内容 - 比如说 5 分钟内不要让它们消失。在这 5 分钟内，如果您收到来自同一 IP 的另一次提交的同一表单 - 丢弃这两个帖子并阻止该 IP。

如果您使用好的验证码，验证码就很好，因为许多自定义的自制验证码现在可以由专门制作的软件自动识别。

总而言之 - 您的问题不仅需要技术，还需要更多的社交解决方案，旨在压制机器人大师而不是阻止机器人发帖。