Chr*_*ris 6 security spam-prevention
简短的故事:我有一个网络应用程序,有很大的参与激励.因此,我们受到脚本编写者和机器人的严重攻击.基于提交的IP地址(1000+并且不断增长,没有任何模式),我倾向于认为提交的内容是由僵尸网络生成的.更糟糕的是,控制自动提交的人正在积极地将事情发展到每次我们做出改变时,他们会在几个小时内赶上来.
我们已经尝试过的一些措施:
即使采取了所有这些措施,提交的文件不仅继续,而且似乎频繁增加,每天大约100,000+.
虚假条目现在使用完全有效的名字和姓氏,并且显然已经使用某种目录列表来确保他们使用的地址(看起来完全随机且完全不一致,顺便说一句)实际上是有效的美国邮政地址.此外,我已将传入的表单值记录到调试日志中并验证它们实际上是否提交了有效的验证码,表明它们具有足够的OCR来解密图像(代码本身从未发送到客户端,只有表示代码的GUID)存储在后端其他地方的代码)
事实上,我们甚至可以告诉条目的唯一方法是伪造的是他们提交的电子邮件地址和域名的模式.我们已尝试阻止最活跃的域名进入,但垃圾邮件发送者只是创建或查找新域名,他们可以从中生成一次性电子邮件地址并继续使用.
我现在已经筋疲力尽了,但我确信必须要做一些我没有尝试过的事情.这里有没有人有任何好主意?
小智 3
问题是:由于仅“注册”到您的网站,用户一次获得了太多权利。用户被信任“太快”了。
看看stackoverflow——你可以注册,一开始你几乎没有获得任何权利。一段时间后,用户权限级别会增加,因为对用户的信任会增加,因为用户正在做什么,并且其他用户会接受这一点。
我将专注于让用户“信任”一种“可构建的资源”,其他用户必须确认特定用户的“权限级别”。那么用户的自动注册就没有任何意义——他们什么也做不了。
我不知道你的网站是关于什么的 - 这可能会让我的建议不被接受......但我希望我能让你的想法继续下去:)
| 归档时间: |
|
| 查看次数: |
330 次 |
| 最近记录: |