批量账户注册和灌水帖、垃圾回复的防护办法有哪些?


我目前做了如下的一些防护措施(还在本地开发,没有部署上来)

  1. 注册用户需要验证邮箱

  2. 注册时需要填写验证码

  3. 发帖时间间隔为5 分钟

  • 23 回复 | 直到 2017年1月12日 17:11
  • 中午的时候写了个爬虫 打算批量注册 结果被django的反csrf搞得郁闷 现在一看你已经又写好了.....真心无语

  • 重置注册表单名称,比如 用户名 不要用username 你换一个名字 password 换成pasword之类的(故意少写错一个字母)诸如此类的

  • 目前还是可以测试的,新代码还没有 commit。爬虫不能绕过csrf么?只需要获取到表单隐藏域的csrf token,带着它 post 数据到注册地址就可以了吧?

    另外你说的通过更改表单字段名似乎不是一个好方法,首先这需要修改后台的表单字段,然后恶意用户还是可以通过查看表单的 html 代码获取到字段名称。 @test

  • 个人觉得现在弄邮箱验证有点为时过早 毕竟一个小论坛刚开始有太多限制的话不能吸引太多用户 反正对于我这样电脑上连扣扣都没装的人 根本懒得打开网页进邮箱什么的 我只是个人意见 不过从网站安全的角度来说 邮箱验证无可厚非 仁见知见

  • 一开始就要严格把关。不过到时候也会支持方便的登录方式。比如github 新浪微博等登录,@pysakura

  • 今晚将对本站进行ddos攻击

  • api的流控。单个ip单位时间内请求多少次就ban掉之类。

    • abc
    • 8 楼

    为什么要限制五分钟?

  • @abc 开始用于测试防止刷屏机制,下一次提交时将解除这个限制,测试版随便刷。

  • @chenhao 对ip的流控需要用到什么工具么?还是由自己写代码控制?

    • chenhao
    • 11 楼

    @追梦人物 写代码塞到redis,不知道有没有现成的轮子。

  • 嗯,这是个好方法,业务也不会太复杂,到时候看看怎么做。@chenhao

    • kimwang
    • 13 楼

    @pysakura 同意,可以考虑其它可行的办法,比如极验验证,不过极验也有两个地方可能不太友好,第一是国外用户加载有时可能会慢或加载不全,第二是不支持HTTPS请求好像。

  • @kimwang 嗯,你指的极验验证是什么?当然到时候社区运营时会主推第三方登录,但如果用户一定要注册账户的话,还是会严格地验证其邮箱,防止验证码被破解而导致被机器人脚本恶意注册。

    • kimwang
    • 15 楼

    @追梦人物 你好,极验验证码: http://www.geetest.com/install/sections/idx-server-sdk.html#python

    支持python部署,根据经验,这是比较一劳永逸的方案,试想,在最初的阶段就封堵了注册机器人,后期就更加不会有狂轰滥炸的情况了,至于是个人用户,那就比较好办了。

  • 感谢,我了解一下他的机制!看是否合适!@kimwang

    • kimwang
    • 17 楼

    还有一种方法也蛮流行的,比如知乎的功能,验证码是一堆中文字,让你点击一下哪个是倒过来的。

    还有万恶的那个订票网站,去年搞疯人的,据说击败99%订票人的验证码。 http://img1.cache.netease.com/catchpic/D/D4/D4EC6729613338AF5968383EA3B42B5F.jpg

    如果自己写也是可以的。

  • @kimwang 这个太复杂,我觉得引入一个像使用 js 滑块就可以了。

  • @kimwang 那个极验证很不错了,考虑集成。

    • rogwan
    • 21 楼

    验证码不是一个好办法,为了防少量机器人导致绝大多数的正常用户增加麻烦。 有注册和间隔限制就可以了

  • @rogwan 嗯,到时候我们会想一个折中方案

  • @测试员 大哥天天攻击

添加一条新回复
登录以回复