请教防止恶意注册的方法,急!!!

2015-07-07 11:04:58 +08:00
 yzn
发现网站有恶意的注册,可以基本肯定不是人手动恶意注册。

采取过的手段:
1、修改注册页面的文件名。(可保短暂的安宁)
2、更换了N个图片验证码、计算形式的验证码、也都用了,也只能短暂平静。
3、利用cookies、session记录IP,限制一个IP一天只能注册一次,我自己测试完全可以限制住,第一次注册可以正常完成,第二次就注册不了,但不知道为什么这限制对于这次的恶意注册一个点用都没

我也想过会不会是直接SQL的注入,但从我的处理方法中可以得出结论,必须要通过那个页面才能注册的,而且我这边在代码中直接限制谁都不能注册,结果也可以限制住。

希望高手们帮忙分析下这问题是怎么回事,要怎么样解决下,折腾了两天了,还是没弄好,着急上火了,大家帮帮忙,跪谢了!
12907 次点击
所在节点    程序员
52 条回复
foccy
2015-07-07 11:21:56 +08:00
利用cookies、session记录IP对于恶意攻击应该没用吧?客户端不携带session id就可以失效。我觉得英爱记录在文件,或者数据库或者其他类似的地方,而不是session。
jnduan
2015-07-07 11:27:43 +08:00
人家是挂着代理注册的吧?

解决这个问题估计必然会导致注册流程体验的下降

1.更复杂的验证码,增加ocr的成本
2.注册验证机制,例如发送激活邮件
3.短信验证码
等等
wkdhf233
2015-07-07 11:30:05 +08:00
短信验证码
惹急了上邀请码,邀请码需要加你QQ要
tini22
2015-07-07 11:31:30 +08:00
中文验证码 + 扭曲变形 + 文字粘连
FastMem
2015-07-07 11:39:58 +08:00
目前是邮箱验证加邀请码
wy315700
2015-07-07 11:40:45 +08:00
手机验证码
sweat89
2015-07-07 11:45:21 +08:00
限制一个IP一天只能注册一次
你在逗我呢
shiznet
2015-07-07 11:49:42 +08:00
限IP会误伤,有些办公网公用一个出口IP。

增加下行短信验证,这样会增加短信的费用,但是可以防止机器批量注册。短信验证时最好配合验证码,否则下行短信接口可能会被人用来做短信炸弹。

对于批量注册,id通常都是有规律的,可以查看日志,对于短时间内集中注册的有规律的用户名可以监控起来。
yzn
2015-07-07 11:50:10 +08:00
嗯,但目前还没到那种地步,希望可以多积累一些用户。
yzn
2015-07-07 11:50:39 +08:00
@wkdhf233 嗯,但目前还没到那种地步,希望可以多积累一些用户。
wizardoz
2015-07-07 11:53:07 +08:00
不要从技术的角度限制,IP限制更是不靠谱。
用邮箱注册或者手机号注册最好,业务上说也是合情合理。
yzn
2015-07-07 11:53:27 +08:00
@shiznet 注册限制太多,影响网站壮大发展与用户体验。就是想现在有没有什么工具软件之类,像防水墙这种。不过防水墙太水了,也没有起到相应作用。
OpooPages
2015-07-07 12:28:24 +08:00
懒惰安全的做法,是不是可以直接使用第三方帐号接入?
比如github oauth接入
laiyingdong
2015-07-07 12:39:20 +08:00
限IP不好 据说现在有 “ADSL VPS” 估计就是这么用的

我觉得可以选择性的使用 邮箱 手机或者是QQ 百度 微博Oauth之类的方式去进行验证 保证用户体验的同时还是可以防的住的
nozama
2015-07-07 12:53:56 +08:00
第三方登录更多是吸引用户注册的手段, 不能本末倒置吧
从业务流程上改进, 像Stackoverflow那样, 没有威望就只能旁观. 僵尸再多也是枉然.
realpg
2015-07-07 12:58:03 +08:00
这就需要各种黑科技了……
别按正常套路出牌。。。
denger
2015-07-07 13:08:56 +08:00
建议学学 qq. http://zc.qq.com/chs/index.html
研究一下人家的规则吧, 就目前国内来说 qq 这方面做的是不错的~
janxin
2015-07-07 13:23:31 +08:00
IP限制很不友好,推荐你直接上中文验证码+短信验证码,最后才限制ip注册上限(一个肯定不合理)

实在不行就邀请码机制,限码
shiniv
2015-07-07 13:44:07 +08:00
@yzn 看到防水墙,应该就是discuz吧?如果是discuz的话,可以改改获取IP那部分,获取IP这部分是可以伪造的。
fraudmetrix
2015-07-07 15:28:43 +08:00
基本上像论坛这种情况,是普遍存在的。你可以尝试一下第三方平台的接入http://www.tongdun.cn/activity/A201506.html?1 以我多年社区管理的经验,这种方式目前比较奏效。
它可以针对登录,注册,发帖等事件,调用第三方的API接口,通过分析设备指纹,IP,发帖速度进行风险识别。只要是高风险,就无法注册,无法登录。比DZ自带的好用多了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/203895

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX