防恶意注册的思考

最新推荐文章于 2021-03-22 03:14:33 发布
最新推荐文章于 2021-03-22 03:14:33 发布
阅读量117 收藏
点赞数
原文链接:https://segmentfault.com/a/1190000002500266
版权

背景

公司业务最近受到来自广东某ip的重复注册, 规则大致为:

  1. 邮箱为随机@163.com
  2. 密码完全一样 ( 哈希完全一样 )
  3. 能完成注册邮件激活 ( pop3协议 )
  4. 验证码校验通过 ( 两种判断: OCR人工打码 )

各种方案

  1. 强化级验证码: 如阿里云 研究过一种验证码技术,点击图片上某个关键字或图片部位, 要求用户点击某块特殊区域, 将点击的点的相对坐标传入到验证码服务器, 确定在关键区域内, 才能通过验证
  2. 防火墙规则: 限制注册接口每个IP每小时可访问频率
  3. 强制短信验证: 新注册用户必需通过短信验证才能激活
  4. 表单input name混淆: 将每个提交项的name进行哈希或者其它算法的混淆, 让破解增加难度

后续...还没写完

weixin_33858336
关注
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动御技术。基础性文章,希望对您有所帮助~
discuz 7论坛止垃圾贴的简便快捷方法
SKYSIDEME的专栏
11-13 795
<br />经过测试,适合discuz 7系列的,其它版本大同小异吧。<br /> 论坛一直至被垃圾帖骚扰着<br />  测试了一些,这些注册还有发帖都是软件自动完成的,而非人工注册。<br /> 所以我想他们是通过自动搜索使用dz程序搭建的网站。<br /> 然后提交注册信息到register.php或者 其他的对应的注册文件。<br />但是即使dz后台修改了注册文件的url还是无效的。<br /> 他们还是可以搜索到。<br /> 也就是说他们自动探测这个注册链接
恶意注册
uhgfdrtyuk的博客
07-04 1925
WEB安全新玩法 [11] 范批量注册
天存信息
11-06 2116
网站的攻击者通过批量注册用户,能够实施大规模非法操作,如抢优惠券、恶意刷单等。这给服务商造成了直接的经济损失,而大量的垃圾用户也会占用系统资源,增加系统运行压力。范批量注册需要针对系统特点,多管齐下综合应对,iFlow 业务安全加固平台可以提供各种范批量注册的技术实现方式。 以某电商网站为例,其用户注册功能存在被攻击者利用的可能。在此将模拟攻击者批量注册的行为,并利用 iFlow 使用多种手段来范攻击。 攻击示例 攻击者编写 RegistTest.py 脚本进行攻击,脚本使用 WebDriver
在php100 恶意注册这个需要怎么填,记录一次解决Drupal站点用户恶意注册的过程...
weixin_39888049的博客
03-22 287
背景:在一个电子商务网站上发现有很多@sina.com的垃圾注册用户。虽然已经开启了honeypot模块,但是没有屏蔽住此类注册。分析:攻击者可能比较熟悉honeypot的工作机制,可以自己编写相应的脚本实现恶意注册。在Drupal系统中,默认情况下,用户注册都会有日志记录,保存在watchdog表中。通过分析watchdog表中的关于用户的日志的情况,可以统计出相应的信息供参考。然后通过user...
asp恶意注册及灌水
mygui的专栏
05-21 1027
之前写过一个不用验证码的注册机方法,使用了将近2年后,彻底失效。今天偶然撞见一个恶意注册的方法,正在思考ing。先把方法列下:获取客户端提交的信息;将信息存入 Session;生成一个随机数(称为 ticket);将随机数也存入 Session;用 JavaScript 的形式将随机数以链接的形式输出,并提示客户点击上一步生成的链接;document.writ
如何止用户论坛恶意灌水
weixin_34217711的博客
01-06 1398
今天论坛有很多广告信息。每个版块都有几百条信息。手动发不可能。一定是用程序发的。无法通过程序判断是否灌水,只能通过设置发帖间隔时间、发帖最少字数及发帖验证码来减少。例如后台数据库已经存有关键字{三*陪*小*姐},如果用户在中间加入其它符号,也过滤不了。Discuz!技巧:如何止用户论坛恶意灌水1:问:如果有注册机器人在Discuz!论坛上批量注册用...
用户注册问题的一点深度思考
2023跟着小虎玩着去软考
08-30 2495
用户注册问题的一点深度思考          朋友要做Web版的会员管理系统,请我帮忙谈谈用户注册的问题,我就斗胆畅谈了一些,尽我所能,尽我所知。本着技术分享的理念,特刊此文。1.止重复注册,需要先查找用户名是否存在,止用户恶意注册,造成数据库冗余,性能受到影响; 2.止软件注册机自动注册,需要加入图形验证码;12306网站,用户注册/购买铁路票,开始没有图形验证码,导致众多刷票软件可以轻松
php登录与注册的心得,实习心得-关于登录与注册
weixin_35182419的博客
03-21 909
今天是实习的第二天,我被分配到了一个数据收集的Web App项目中去,因为这个项目是由后端独自构想开发的,所以有很多需要改进和整理的工作需要去做。那么我的工作是,对这款产品的功能架构进行梳理,调整各个相互之间的逻辑关系,并对界面进行新的设计。通过思维导图将产品之间的一些逻辑关系整理出来,产品的目的是通过对链接的转换,然后对访问链接的用户做一些数据统计,有些像站长之家,但是会更灵活一些。结合实际的使...
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
热门推荐
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
杨秀璋的专栏
09-15 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。本篇文章,作者将分享两篇论文,机器学习是如何运用到恶意代码攻击中的,并谈谈自己的理解,后续深入研究尝试分享相关实验,目前还是小白一只。基础性文章,希望对初学者有帮助,大神请飘过,谢谢各位看官!
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
【水果识别】基于matlab GUI形态学水果大小识别【含Matlab源码 920期】.md
10-15
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 图像识别:表盘识别、车道线识别、车牌识别、答题卡识别、电器识别、跌倒检测、动物识别、发票识别、服装识别、汉字识别、红绿灯识别、火灾检测、疾病分类、交通标志牌识别、口罩识别、裂缝识别、目标跟踪、疲劳检测、身份证识别、人民币识别、数字字母识别、手势识别、树叶识别、水果分级、条形码识别、瑕疵检测、芯片识别、指纹识别
【瑕疵检测】基于matlab瓶盖瑕疵检测【含Matlab源码 730期】.md
最新发布
10-15
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 图像识别:表盘识别、车道线识别、车牌识别、答题卡识别、电器识别、跌倒检测、动物识别、发票识别、服装识别、汉字识别、红绿灯识别、火灾检测、疾病分类、交通标志牌识别、口罩识别、裂缝识别、目标跟踪、疲劳检测、身份证识别、人民币识别、数字字母识别、手势识别、树叶识别、水果分级、条形码识别、瑕疵检测、芯片识别、指纹识别
互联网企业风控实践与思考
"限制频率"是止攻击的一种方法,通过对某些操作设置频率上限,可以有效恶意用户的批量操作,如频繁注册、登录或下单等,从而保护系统免受大规模攻击。 "规则和模型"在风控中扮演着核心角色。规则通常是硬性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值