网站安全怎么防止暴力攻击

有事没事 发布于 2013/12/27 10:03
阅读 532
收藏 1

我是某网站开发人员,近一二个月时间我发现有人调用注册模块中Ajax的检查手机号是否注册方法。

第一次接招,我在请求中加入refer、User-Agent判断,可对方马上回应了在头里面加上正常refer,User-Agent请求直接无视我的判断

第二次接招 ,我发现他们访问的ip是同一批的,我把此ip加放黑名单中,没过几个小时,他们不知道怎么处理的每次访问的ip都不一样

我服务器是用nginx+resin3

加载中
0
0
码不停蹄
码不停蹄

封IP段呢?

程序里加上计数器防止同一个IP几秒内禁止访问N次

有事没事
有事没事
这个早就有了,但现在问题是他每次动态ip,无法根据ip封住
0
雪不语寒
雪不语寒

给自己的请求加类似 token 标识,只有带标识并且符合验证的才去响应。

例:

1. 自己的前端页面生成一个唯一(不怕麻烦就加密,如用时间组合其他元素)key

2. 涉及到ajax 的请求都需要带上 key ,否则就是非法请求。

Timco
Timco
ajax代码在客户端,生成key和加密的方式都可以被看到吧
枫爱若雪
枫爱若雪
+1024
0
JPer
JPer
加个验证码
0
小竹子哥
小竹子哥
你需要参考投票网站的解决方案,COOKIE+MAC地址,不能完美解决防范,不过能恶心攻击者。
0
小竹子哥
小竹子哥
还有验证码
0
月影又无痕
月影又无痕

forward-for被伪造了。

验证码、IP段拦截是最可靠的。

说什么MAC地址,就是在放屁话。

有事没事
有事没事
它现在是动态ip的
0
论韭菜的100种吃法
论韭菜的100种吃法

添加code码吧,这个code用 js传,js里写一堆东西,至少能恶心他好几天,然后js里面的算法每天都变,恶心死他

0
论韭菜的100种吃法
论韭菜的100种吃法

这样差不多,也能给你们增加pv了

返回顶部
顶部