Impedisci la creazione automatica di account senza utilizzare CAPTCHA

3

Ho avuto uno scenario, in cui qualcuno ha creato migliaia di account utente in un sistema di negozio, che ha inondato il DB. Sono stati utilizzati diversi nomi utente / e-mail e ogni creazione proviene da un indirizzo IP diverso.

Come può qualcuno prevenire / evitare un tale "attacco"?

C'è qualcos'altro oltre a CAPTCHAS che un programmatore può fare?

    
posta xhallix 24.07.2017 - 16:56
fonte

1 risposta

1

Ci sono un certo numero di cose che uno "sviluppatore" potrebbe fare per evitare la creazione di account in blocco in questo modo - ma dipenderà dall'appetito / budget per un cliente.

Ad esempio, è probabile che un certo numero di WAF commerciali individuino i pattern alla fine e inizino a bloccarli, anche quando provengono da IP diversi. Il WAF, se utilizza definizioni / definizioni basate sul cloud, potrebbe aver già visto problemi da quegli IP per altri siti che è stato usato per proteggere.

Se stai solo cercando una soluzione puramente 'programmata' - allora molti hanno tentato di sviluppare le proprie versioni di CAPTCHA (a volte vedi cose semplici come rispondere alla domanda di 5 + 3 = X in un campo modulo) , ma la realtà è che ci vorrà molto tempo / sforzi / spese per sviluppare qualcosa di abbastanza robusto.

Perché il client in questo caso non vuole usare CAPTCHA?

    
risposta data 24.07.2017 - 17:29
fonte

Leggi altre domande sui tag