如何防止使用XSSME,SQLinjectMe(这两个是免费的Firefox附加组件),Accunetix Web扫描仪等大型漏洞扫描程序扫描表单?
这些"Web漏洞扫描程序"可以捕获表单及其所有字段的副本,并在几分钟内发送数千个测试,在字段中引入所有类型的恶意字符串.
即使您对输入进行了非常好的清理,服务器中也存在速度响应延迟,有时如果表单发送电子邮件,您将在接收方邮箱中收到数千封电子邮件.我知道减少此问题的一种方法是使用CAPTCHA组件,但有时这种组件对于某些类型的表单来说太多而且会延迟用户响应(例如登录/密码表单).
有什么建议吗?
提前致谢,对不起我的英语!
嗯,如果这是一个主要问题,你可以添加服务器端提交率限制器.当有人提交表单时,请在数据库中存储有关其IP地址和提交表单的时间的一些信息.然后,每当有人提交表单时,检查数据库以查看自上次IP地址提交表单以来它是否"足够长".即使是相当短的等待时间(例如10秒)也会严重降低这种自动探测的速度.这个数据库可以每天/每小时自动清除,无论如何,您不需要长时间保存数据.
当然,有权访问僵尸网络的人可以避免使用此限制器,但如果您的站点受到大型僵尸网络的攻击,则可能存在比此更大的问题.
| 归档时间: |
|
| 查看次数: |
958 次 |
| 最近记录: |