ajax - 有人可以发个帖子到 register.php 并注册十亿个帐户吗？

Question

是否可以创建一个在服务器外执行的脚本，
或者使用浏览器插件，例如它会自动填写表单值，然后提交所有准备好由服务器解析的表单？这样，在三分钟内，十亿个假账户可以很容易地注册，想象一下 Facebook，它不使用任何对人类验证码可见的内容，浏览器插件执行表单提交并插入从本地数据库中检索到的新电子邮件的 vals 到关联，因为那是支票 - 没有重复的电子邮件，每天是否可以在全局范围内创建成千上万个假帐户？

防止虚假账户的最佳方法是什么？甚至想象一个旋转 ips 中心的场景，人类注册只是为了扼杀数据库，一年内实现 30-5000 万个帐户。谢谢

Answer 1

这在 Security.Stackexchange.com 网站上可能会更好，但是......

根据OWASP Guide to Authentication ，验证码实际上是一件坏事。它们不仅不起作用，还会引起额外的头痛，而且在某些情况下(根据 OWASP)，它们是非法的。

CAPTCHA

CAPTCHA (Completely automated Turing Tests To Tell Humans and Computers Apart) are illegal in any jurisdiction that prohibits discrimination against disabled citizens. This is essentially the entire world. Although CAPTCHAs seem useful, they are in fact, trivial to break using any of the following methods:

• Optical Character Recognition. Most common CAPTCHAs are solvable using specialist CAPTCHA breaking OCR software.

• Break a test, get free access to foo,> where foo is a desirable resource

• Pay someone to solve the CAPTCHAs.

The current rate at the time of writing is $12 per 500 tests. Therefore implementing CAPTCHAs in your software is most likely to be illegal in at least a few countries, and worse - completely ineffective.

通常使用其他方法。

最常见的可能是电子邮件验证过程。您注册后，他们会向您发送电子邮件，并且只有当您确认该帐户已激活且可访问时。

还有几个interesting alternatives到 CAPTCHA 执行相同的功能，但方式(可以说，在某些情况下)不那么困难。

更困难的可能是跟踪来自单个 IP 地址的表单提交，并阻止明显的攻击。但这可以被欺骗和绕过。

另一种使用 JavaScript 来计算用户在提交前在网页上花费的时间的技术。大多数机器人几乎会立即提交内容(如果它们甚至完全运行 JavaScript)，因此检查自呈现页面以来已经过去了 1 或 2 秒可以检测到机器人。但也可以制作机器人来愚弄它

蜜 jar 技术还可以帮助检测此类表单提交。有一个很好的实现示例 here .

此页面还讨论了 Form Token 方法。在这种情况下，Form Token 是我直到现在才听说过的。它在概念上看起来类似于反 csrf token 。

总而言之，与安全相关的任何事情一样，您最好的防御是一种分层方法，使用多个防御。这个想法是让它比平均更难，以便您的攻击者放弃广告尝试不同的网站。这不会阻止持续的攻击者，但会减少路过式攻击。

要回答您最初的问题，这完全取决于网站开发人员采取了哪些预防措施来防止人们自动创建帐户。

任何有能力的开发人员都会在需求收集阶段解决这个问题，并为此做好计划。但是有很多网站是由不称职的开发人员/团队编写的，即使是在应该更了解的知名公司中。