作者:陈 | 来源:互联网 | 2023-08-24 14:13
发现网站有恶意的注册,可以基本肯定不是人手动恶意注册。采取过的手段:1、修改注册页面的文件名。(可保短暂的安宁)2、更换了N个图片验证码、计算形式的验证码、也都用了,也只能短暂平静。3、利用
发现网站有恶意的注册,可以基本肯定不是人手动恶意注册。
采取过的手段:
1、修改注册页面的文件名。(可保短暂的安宁)
2、更换了N个图片验证码、计算形式的验证码、也都用了,也只能短暂平静。
3、利用COOKIEs、session记录IP,限制一个IP一天只能注册一次,我自己测试完全可以限制住,第一次注册可以正常完成,第二次就注册不了,但不知道为什么这限制对于这次的恶意注册一个点用都没
我也想过会会是直接SQL的注入,但从我的处理方法中可以得出结论,必须要通过那个页面才能注册的,而且我这边在代码中直接限制谁都不能注册,结果也可以限制住。
希望高手们帮忙分析下这问题是怎么回事,要怎么样解决下,折腾了两天了,还是没弄好,着急上火了,大家帮帮忙,跪谢了!
129 个解决方案
用验证码???那种比较复杂想加减的试下。。答案给他几个选择
http://www.etradenow.cn/Member/RegisterUser.aspx 像这个网站
可以通过手机短信,邮件激活等方式来完成最后的注册验证。那么对于没有验证的可以进行定期清理就行了。
这种情况应该是你网站有漏洞,要是这样的话别人可以不经过注册页面,直接往数据库里插数据啊
你在做验证也没用啊,限制啊也没用啊
我们公司原来的asp网站就是这样经常被人攻击,往数据库里放些烂七八糟的东西,换成.net后就没事了,
我觉得是注入。因为注册需要验证码。别人会无聊去输这个来注册么。程序全部参数化,做好防注入。
1.通过邮件激活注册
2.通过短信验证注册
3.使用复杂验证注册
QQ 群 1064 97038
有句话叫不怕贼偷,就怕贼惦记,所以估计你惨了,呵呵
你可以加一个黑名单吗,IP直接干掉,不让访问
1、代码对极端情况是否做验证,比如验证码为空的情况。
2、注册页面加日志,记录注册过来的信息,这个可以判断它是否使用了你的漏洞。
如果排除上两种情况的话,找几种风格的验证码,最好是肉眼识别都要想下。注册的时候随机使用一种风格。增加验证码识别程序的难度。
ip限制就别用了,那个起不到任何作用。
要看,不复杂的可以。
现在的识别码人都不好识别,就是这个原因
首先得确认是从注册页面进行恶意注册的吗,如果不是的话,就不要在注册页的逻辑上下功夫了,还是找一下是不是其他的地方被注入了
访问记录最好是访问时间,访问页面,访问次数等信息都记录下来 这也好确定你的那些页面被别人攻击
可以考试,控制提交间隔时间
手机短信验证,电话语音验证,邮件验证。或者是付费注册。邀请码注册。还有QQ号关联注册。
[Quote=引用 37 楼 hong10108 的回复:]
引用 35 楼 hong10108 的回复:
[Quote=引用 35 楼 hong10108 的回复:]
[Quote=引用 35 楼 hong10108 的回复:]
[Quote=引用 35 楼 hong10108 的回复:]
[Quote=引用 35 楼 hong10108 的回复:]
[Quote=引用 35 楼 hong10108 的回复:]
[Quote=引用 35 楼 ……
我也遇到你这个问题了的,有专人负责输入验证码的.所以根本没办法防注册,只有加激活验证的功能才行.
以前碰到过恶意注册的问题,后来我们采取了采用更复杂一点算法更换注册码 && 邮件注册
问题就解决了
以前也遇到过这种情况,对方肯定是破解了你的session,因为多数网站是把验证码保存在session中的,这应该是比较容易破解的一个地方。
2楼的方法是比较复杂,但还不是最复杂的,计算出来的答案是不是也保存在session中;
我有一种思路:
建一个表,三个字段,一个存问题,一个存答案,另一个放记录的ID(可自动增长,连续的数字最好,唯一识别码);
登陆页面,随机产生一个数,这个数与上表中的识别码一致,显示问题,提交时验证答案,可以不用session。
完全使用数据库,这样应该不会被破解了吧。。。。。。。。
session 被破解,那岂不是整个服务器都已经沦陷了?
京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有