注册接口,通过手机验证,发验证码到手机
被人恶意攻击,随意提交手机号,消耗短信费用,
提交的表单,ip,手机号都随机,
验证码已经失效(验证码信息服务器存session),
cookie限制不行,ip又是随机,怎么办
就算升级验证码,被破解是迟早的事
还有什么方案?
回复内容:
注册接口,通过手机验证,发验证码到手机
被人恶意攻击,随意提交手机号,消耗短信费用,
提交的表单,ip,手机号都随机,
验证码已经失效(验证码信息服务器存session),
cookie限制不行,ip又是随机,怎么办
就算升级验证码,被破解是迟早的事
还有什么方案?
简单有效的方案就是发送前再加一个图片验证码,防止机器提交。
可以考虑这种极验验证码 http://www.geetest.com/
采用图片验证码的方式是否是一个好的方案,从用户体验的角度来说是值得商榷的
那么,我的建议会是:隐藏文本框
1.在注册表单里添加一个文本框,利用css将其隐藏
<code><input name="antispam" style="display:none" value=""></code>
2.你可以通过javascript来间歇更新这里的值,然后根据你的具体更新规则,在后台进行验证即可,如果不符合规则,即可判断是bot
接口走HTTPS + token + 参数加密传送
js获取光标坐标并传进后端,后端处理这些坐标是否在注册按钮的坐标区中,不知道这样可不可以
限制同一个手机号码,就是发送后保存发送时间,后期这个号码过来,检测是否超过有效时间
无效号码,就是对号码进行效验是否合法
对于合法,随机号码攻击,那就是通过ip限制了,一个ip一段时间内最多几个号码!
暂时想到就这么多了
http://segmentfault.com/q/10100000007530... 这个是和你一样的问题
以下帮你转载的
【绑定图型校验码】——将图形校验码和手机验证码进行绑定,当用户输入手机号码以后,需要输入图形校验码才可以触发短信,这样能比较有效的防止软件恶意点击。现在大型网站都采用此方式。
2.【流程限定】——将手机短信验证和用户名注册分成两个步骤,用户在注册成功用户名密码后,下一步才进行手机短信验证。
3.【触发条件】——用户必须填写好所有注册信息才可进行触发,注册资料不完整无法发送验证码。
附加对接设置:
【短信发送间隔设置】——设置同一号码重复发送的时间间隔,一般设置为60-120秒;
【IP限定】——设置每个IP每天的最大发送量;
【发送量限定】——设置每个手机号码每天的最大发送量;
目前我们推荐的是第1、2、3结合456的方法进行对接接口。以免短信造成不必要的浪费!
除了验证码和签名,其他都没卵用
接口用服务器curl或者flie_get_content请求,接口还要写一个签名验证`
数据使用ajax post提交,同时禁止跨域提交上来的数据,同域提交的数据也做签名验证
建议使用手机号码归属方法,先查是否存在,如果存在时在发送信息,没办法了还可以做地区限制
可以尝试下同盾科技的接口保护解决方案
记录一下每次获取验证码的请求ip,电话号码以及请求时间
下次再请求的时候判断一下两次请求的时间间隔 你可以自己把控这个度
譬如30分钟之内只能发送一次验证码
这样的话如果想消耗你们的短信费用就得有多台机器并且有多个手机号码
这也只是我的猜想,不知道可不可行
可以从HTTP头还有访问记录来判断是否正常用户的,一般脚本的话,只会抓取HTML,不会请求图片,CSS,JS等内容;
还有一些HTTP头,脚本的一般都不完整。
不过真要搞你,我觉得基本拦不住,随机IP,随机电话,这个无法简单的判断出来是正常用户还是攻击。
用12306的验证码。
多准备几套验证码方案,随机更换,他破解的速度能有换验证码的速度快吗?
验证码发送到手机是这么被获取。 一般逻辑过程用户调研注册接口,你调用短信接口,短信平台调用你的回掉接口。或者你们提供验证码给短信接口,短信给用户。 用户没有手机是不知道的。我看有必要花钱找人做渗透测试。如果短信平台是安全可信性的话,你们问题更加严重。
用私钥生成签名,公钥传输,服务验证签名
难道没有对接口请求加token过滤?还是token很容易被破解
您如何防止與會議有關的跨站點腳本(XSS)攻擊?Apr 23, 2025 am 12:16 AM要保護應用免受與會話相關的XSS攻擊,需採取以下措施:1.設置HttpOnly和Secure標誌保護會話cookie。 2.對所有用戶輸入進行輸出編碼。 3.實施內容安全策略(CSP)限制腳本來源。通過這些策略,可以有效防護會話相關的XSS攻擊,確保用戶數據安全。
您如何優化PHP會話性能?Apr 23, 2025 am 12:13 AM优化PHP会话性能的方法包括:1.延迟会话启动,2.使用数据库存储会话,3.压缩会话数据,4.管理会话生命周期,5.实现会话共享。这些策略能显著提升应用在高并发环境下的效率。
什麼是session.gc_maxlifetime配置設置?Apr 23, 2025 am 12:10 AMtheSession.gc_maxlifetimesettinginphpdeterminesthelifespanofsessiondata,setInSeconds.1)它'sconfiguredinphp.iniorviaini_set().2)abalanceisesneededeededeedeedeededto toavoidperformance andunununununexpectedLogOgouts.3)
您如何在PHP中配置會話名?Apr 23, 2025 am 12:08 AM在PHP中,可以使用session_name()函數配置會話名稱。具體步驟如下:1.使用session_name()函數設置會話名稱,例如session_name("my_session")。 2.在設置會話名稱後,調用session_start()啟動會話。配置會話名稱可以避免多應用間的會話數據衝突,並增強安全性,但需注意會話名稱的唯一性、安全性、長度和設置時機。
您應該多久再生一次會話ID?Apr 23, 2025 am 12:03 AM會話ID應在登錄時、敏感操作前和每30分鐘定期重新生成。 1.登錄時重新生成會話ID可防會話固定攻擊。 2.敏感操作前重新生成提高安全性。 3.定期重新生成降低長期利用風險,但需權衡用戶體驗。
如何在PHP中設置會話cookie參數?Apr 22, 2025 pm 05:33 PM在PHP中設置會話cookie參數可以通過session_set_cookie_params()函數實現。 1)使用該函數設置參數,如過期時間、路徑、域名、安全標誌等;2)調用session_start()使參數生效;3)根據需求動態調整參數,如用戶登錄狀態;4)注意設置secure和httponly標誌以提升安全性。
在PHP中使用會議的主要目的是什麼?Apr 22, 2025 pm 05:25 PM在PHP中使用會話的主要目的是維護用戶在不同頁面之間的狀態。 1)會話通過session_start()函數啟動,創建唯一會話ID並存儲在用戶cookie中。 2)會話數據保存在服務器上,允許在不同請求間傳遞數據,如登錄狀態和購物車內容。
您如何在子域中分享會議?Apr 22, 2025 pm 05:21 PM如何在子域名間共享會話?通過設置通用域名的會話cookie實現。 1.在服務器端設置會話cookie的域為.example.com。 2.選擇合適的會話存儲方式,如內存、數據庫或分佈式緩存。 3.通過cookie傳遞會話ID,服務器根據ID檢索和更新會話數據。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
SublimeText3 Linux新版
SublimeText3 Linux最新版
VSCode Windows 64位元 下載
微軟推出的免費、功能強大的一款IDE編輯器
MinGW - Minimalist GNU for Windows
這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。
Dreamweaver Mac版
視覺化網頁開發工具
DVWA
Damn Vulnerable Web App (DVWA) 是一個PHP/MySQL的Web應用程序,非常容易受到攻擊。它的主要目標是成為安全專業人員在合法環境中測試自己的技能和工具的輔助工具,幫助Web開發人員更好地理解保護網路應用程式的過程,並幫助教師/學生在課堂環境中教授/學習Web應用程式安全性。 DVWA的目標是透過簡單直接的介面練習一些最常見的Web漏洞,難度各不相同。請注意,該軟體中
