Ho avuto uno scenario, in cui qualcuno ha creato migliaia di account utente in un sistema di negozio, che ha inondato il DB. Sono stati utilizzati diversi nomi utente / e-mail e ogni creazione proviene da un indirizzo IP diverso.
Come può qualcuno prevenire / evitare un tale "attacco"?
C'è qualcos'altro oltre a CAPTCHAS che un programmatore può fare?
Ci sono un certo numero di cose che uno "sviluppatore" potrebbe fare per evitare la creazione di account in blocco in questo modo - ma dipenderà dall'appetito / budget per un cliente.
Ad esempio, è probabile che un certo numero di WAF commerciali individuino i pattern alla fine e inizino a bloccarli, anche quando provengono da IP diversi. Il WAF, se utilizza definizioni / definizioni basate sul cloud, potrebbe aver già visto problemi da quegli IP per altri siti che è stato usato per proteggere.
Se stai solo cercando una soluzione puramente 'programmata' - allora molti hanno tentato di sviluppare le proprie versioni di CAPTCHA (a volte vedi cose semplici come rispondere alla domanda di 5 + 3 = X in un campo modulo) , ma la realtà è che ci vorrà molto tempo / sforzi / spese per sviluppare qualcosa di abbastanza robusto.
Perché il client in questo caso non vuole usare CAPTCHA?
Leggi altre domande sui tag e-commerce denial-of-service