这是一个创建于 3414 天前的主题,其中的信息可能已经有所发展或是发生改变。
发现网站有恶意的注册,可以基本肯定不是人手动恶意注册。
采取过的手段:
1、修改注册页面的文件名。(可保短暂的安宁)
2、更换了N个图片验证码、计算形式的验证码、也都用了,也只能短暂平静。
3、利用cookies、session记录IP,限制一个IP一天只能注册一次,我自己测试完全可以限制住,第一次注册可以正常完成,第二次就注册不了,但不知道为什么这限制对于这次的恶意注册一个点用都没
我也想过会不会是直接SQL的注入,但从我的处理方法中可以得出结论,必须要通过那个页面才能注册的,而且我这边在代码中直接限制谁都不能注册,结果也可以限制住。
希望高手们帮忙分析下这问题是怎么回事,要怎么样解决下,折腾了两天了,还是没弄好,着急上火了,大家帮帮忙,跪谢了!
采取过的手段:
1、修改注册页面的文件名。(可保短暂的安宁)
2、更换了N个图片验证码、计算形式的验证码、也都用了,也只能短暂平静。
3、利用cookies、session记录IP,限制一个IP一天只能注册一次,我自己测试完全可以限制住,第一次注册可以正常完成,第二次就注册不了,但不知道为什么这限制对于这次的恶意注册一个点用都没
我也想过会不会是直接SQL的注入,但从我的处理方法中可以得出结论,必须要通过那个页面才能注册的,而且我这边在代码中直接限制谁都不能注册,结果也可以限制住。
希望高手们帮忙分析下这问题是怎么回事,要怎么样解决下,折腾了两天了,还是没弄好,着急上火了,大家帮帮忙,跪谢了!
 |
1
foccy 2015-07-07 11:21:56 +08:00
利用cookies、session记录IP对于恶意攻击应该没用吧?客户端不携带session id就可以失效。我觉得英爱记录在文件,或者数据库或者其他类似的地方,而不是session。
|
 |
2
jnduan 2015-07-07 11:27:43 +08:00
人家是挂着代理注册的吧?
解决这个问题估计必然会导致注册流程体验的下降 1.更复杂的验证码,增加ocr的成本 2.注册验证机制,例如发送激活邮件 3.短信验证码 等等 |
 |
3
wkdhf233 2015-07-07 11:30:05 +08:00
短信验证码
惹急了上邀请码,邀请码需要加你QQ要 |
 |
4
tini22 2015-07-07 11:31:30 +08:00
中文验证码 + 扭曲变形 + 文字粘连
|
 |
5
FastMem 2015-07-07 11:39:58 +08:00
目前是邮箱验证加邀请码
|
 |
6
wy315700 2015-07-07 11:40:45 +08:00 via Android
手机验证码
|
 |
7
sweat89 2015-07-07 11:45:21 +08:00
限制一个IP一天只能注册一次
你在逗我呢 |
 |
8
shiznet 2015-07-07 11:49:42 +08:00
限IP会误伤,有些办公网公用一个出口IP。
增加下行短信验证,这样会增加短信的费用,但是可以防止机器批量注册。短信验证时最好配合验证码,否则下行短信接口可能会被人用来做短信炸弹。 对于批量注册,id通常都是有规律的,可以查看日志,对于短时间内集中注册的有规律的用户名可以监控起来。 |
 |
9
yzn OP 嗯,但目前还没到那种地步,希望可以多积累一些用户。
|
 |
11
wizardoz 2015-07-07 11:53:07 +08:00
不要从技术的角度限制,IP限制更是不靠谱。
用邮箱注册或者手机号注册最好,业务上说也是合情合理。 |
|
12
yzn OP @shiznet 注册限制太多,影响网站壮大发展与用户体验。就是想现在有没有什么工具软件之类,像防水墙这种。不过防水墙太水了,也没有起到相应作用。
|
 |
13
OpooPages 2015-07-07 12:28:24 +08:00 via Android
懒惰安全的做法,是不是可以直接使用第三方帐号接入?
比如github oauth接入 |
 |
14
laiyingdong 2015-07-07 12:39:20 +08:00
限IP不好 据说现在有 “ADSL VPS” 估计就是这么用的
我觉得可以选择性的使用 邮箱 手机或者是QQ 百度 微博Oauth之类的方式去进行验证 保证用户体验的同时还是可以防的住的 |
 |
15
nozama 2015-07-07 12:53:56 +08:00
第三方登录更多是吸引用户注册的手段, 不能本末倒置吧
从业务流程上改进, 像Stackoverflow那样, 没有威望就只能旁观. 僵尸再多也是枉然. |
 |
16
realpg 2015-07-07 12:58:03 +08:00
这就需要各种黑科技了……
别按正常套路出牌。。。 |
 |
17
denger 2015-07-07 13:08:56 +08:00
建议学学 qq. http://zc.qq.com/chs/index.html
研究一下人家的规则吧, 就目前国内来说 qq 这方面做的是不错的~ |
 |
18
janxin 2015-07-07 13:23:31 +08:00
IP限制很不友好,推荐你直接上中文验证码+短信验证码,最后才限制ip注册上限(一个肯定不合理)
实在不行就邀请码机制,限码 |
 |
20
fraudmetrix 2015-07-07 15:28:43 +08:00
基本上像论坛这种情况,是普遍存在的。你可以尝试一下第三方平台的接入http://www.tongdun.cn/activity/A201506.html?1 以我多年社区管理的经验,这种方式目前比较奏效。
它可以针对登录,注册,发帖等事件,调用第三方的API接口,通过分析设备指纹,IP,发帖速度进行风险识别。只要是高风险,就无法注册,无法登录。比DZ自带的好用多了。 |
 |
21
blaboy 2015-07-07 16:09:45 +08:00 via Android
语音验证码,下拨到用户手机。
|
 |
22
kn007 2015-07-07 16:38:37 +08:00
语音验证码+1
|
 |
23
branchzero 2015-07-07 16:42:27 +08:00
语音验证码 +10086
图形验证码的话,市面上一堆打码平台可破。。。 |
 |
24
binyuJ 2015-07-07 16:43:12 +08:00
话说用那种传说中的“汉字顺序并不影响阅读”来做验证码的话效果如何?验证码是乱序的让用户输正常顺序的
|
 |
25
learnshare 2015-07-07 16:43:13 +08:00
邮箱邮件验证,手机短信验证
|
 |
26
timor 2015-07-07 17:00:00 +08:00
|
 |
27
clino 2015-07-07 17:12:33 +08:00
要不用户输入邮箱以后点击收到的邮箱链接才能注册,链接只针对此邮箱用户可用
这样稍微会麻烦点哈 |
 |
28
elyamen 2015-07-07 17:16:49 +08:00
要不您学学12306,整个请选出以下图中所有的蔬菜?
|
 |
30
liuhaotian 2015-07-07 17:28:36 +08:00 via iPhone
session是没有用的,session依赖cookie在本地存储session ID,那么我只需要随意修改session ID甚至禁用cookie就可以肆意注册
|
 |
31
chairuosen 2015-07-07 17:28:51 +08:00  1
弄个公众号机器回复下发邀请码。一个openID只给一个
|
 |
32
lightening 2015-07-07 17:31:10 +08:00
你确定你的系统没办法绕过验证码吗?
|
 |
33
akira 2015-07-07 18:06:00 +08:00
session 和 cookie都是可以随便伪造的。
验证码有打码平台。 短信验证有短信验证平台。 IP限制有虚拟拨号/VPN/代理。 任何限制都只是增加成本,只要他的收益大于成本,依然是会有人去做。 所以,要么你加大他的成本,要么你降低他的收益,从这个角度出发去做吧。 |
 |
34
mrjoel 2015-07-07 18:33:54 +08:00
手机语音验证码 简直无解。。。。23333333
|
 |
35
fyooo 2015-07-07 18:40:52 +08:00
@chairuosen 弄个公众账号,从公众账号下发语音邀请码,哈哈
|
 |
36
Desert 2015-07-07 19:01:44 +08:00
可以问下什么网站吗?这么多用户想注册
|
 |
37
zcbenz 2015-07-07 19:07:13 +08:00
在服务器端记录IP地址,用redis几十行代码的事。
|
 |
38
picasso250 2015-07-07 20:13:35 +08:00
假设楼主不是钓鱼贴。
在不能打击到攻击者肉体(如报警)的情况下,有一个很好抗攻击方法——让攻击的成本高于修复的成本。 具体到楼主提到的这件事,如果楼主可以判断是谁注册的,做个脚本,每个小时删除一次数据库,就行了。 |
 |
39
ko 2015-07-07 20:46:28 +08:00
用微信加二次验证
|
 |
40
em70 2015-07-07 20:49:58 +08:00 via Android
暂停注册看看是不是还会写入,从而排除注入问题
|
 |
41
lyragosa 2015-07-07 21:06:25 +08:00
让恶意注册你网站的收益小于他恶意注册的成本。
就不会有人恶意注册了。 我的网站开了几年,几乎没有打开过任何的注册限制(当然这些功能都做了,只是没实装),也没见有人大规模恶意注册。 |
 |
42
Stof 2015-07-07 21:11:57 +08:00
|
 |
44
bluepig 2015-07-08 02:43:13 +08:00
Google现在用的门牌号这种验证码貌似不错
再加手机验证 |
 |
45
r00tt 2015-07-08 08:41:02 +08:00 via Android
怎么获取的,x-forward-for这种只要修改头就可以伪造啦
|
|
46
fraudmetrix 2015-07-08 09:57:07 +08:00
|
 |
47
recall704 2015-07-08 13:36:25 +08:00
个人比较推荐等级制度来限制用户行为.
比如不注册的用户不能下载. 新注册的用户不能发帖子,能下载. 用户完成某个动作后变成正式用户(比如 email 认证,手机认证) 或者新注册的用户发的帖子是不公开的,需要审核的. 说得简单点,就是用户需要对自己的行为付出一定的代价,这种代价越是无形的越好. |
 |
48
sampeng 2015-07-08 16:52:25 +08:00
只要不是1小时几万注册那种。。。多点又不会少块肉。。。
|
 |
49
gamecreating 2015-07-08 18:32:25 +08:00
手机号 短信 验证
|
 |
50
holinhot 2015-07-08 23:39:48 +08:00 via iPhone
短信验证妥妥的
|
|
51
holinhot 2015-07-08 23:49:09 +08:00 via iPhone
现在都有专业打码团队 验证码何用
|
|
52
holinhot 2015-07-08 23:51:11 +08:00 via iPhone
国外有那个游戏验证码 请把所有蚊子都拍死
|
Select Language