使用ThinkPHP5做的网站被注册机轰炸
使用Thinkphp5 做的一个网站,最近搞促销,送5元代金券的样子吧..
使用邮箱验证码验证,注册页面有图片验证码
可惜一点用都没有
一个晚上,被刷了400个用户,最终阿里云邮箱服务爆炸(无法继续注册),才停止注册
注册机操作猛如虎啊!。到底是怎么做到的??
thinkphp自带的验证码一下就破解了
这个可以说是吧..,但是邮箱是需要验证的,他注册的也全部秒验证了
接下来会把验证码替换成 geetest 的吧..
萧十郎浏览 681回答 15
15回答
-
Smart猫小萌
老套路了,自古以來所有前端的input全都不安全,所有的安全性防範應該都在後端進行。 2種取巧思路: 1.. 計算'從頁面載入' 至 '表格提交' 的時間機器提交的速度很快,人手是很難達到機器的速度,因此可以在後端判斷提交時間的可接受時間範圍。 2.. 表格裏加一個不可見且不必要的input機器的特性是把所有input都會自動填上,假如在表格裏加上一個input name="gender",用css把該input放在用戶看不到的地方(非隱藏,機器可識別隱藏),這代表用戶不用填寫這個input,但是機器又填上了,在後端判斷一下,假如$_POST['gender'] 有值,不註冊。 -
慕尼黑8549860
换一个验证码插件,不要太简单,推荐极验证 ,网易的,或者你换一种验证机制,比如说用手机号接收验证码,限制ip,加上身份证等手段, -
慕尼黑5688855
thinkphp自带的验证码一下就破解了 -
SMILET
邮件验证做点手脚,验证码搞复杂点,增加作案成本 -
摇曳的蔷薇
验证码可以换个接口,极验验证什么的 -
绝地无双
使用手机短信验证码咯或者邮箱验证, 会自己动测试或者会爬虫的 分分钟给你注册上百个账号 -
噜噜哒
接入一个语音验证码,让他用机器刷
随时随地看视频慕课网APP
PHP