防恶意注册的思考

ARGUS

背景

公司业务最近受到来自广东某ip的重复注册, 规则大致为:

  1. 邮箱为随机@163.com
  2. 密码完全一样 ( 哈希完全一样 )
  3. 能完成注册邮件激活 ( pop3协议 )
  4. 验证码校验通过 ( 两种判断: OCR人工打码 )

各种方案

  1. 强化级验证码: 如阿里云 研究过一种验证码技术,点击图片上某个关键字或图片部位, 要求用户点击某块特殊区域, 将点击的点的相对坐标传入到验证码服务器, 确定在关键区域内, 才能通过验证
  2. 防火墙规则: 限制注册接口每个IP每小时可访问频率
  3. 强制短信验证: 新注册用户必需通过短信验证才能激活
  4. 表单input name混淆: 将每个提交项的name进行哈希或者其它算法的混淆, 让破解增加难度

后续...还没写完

阅读 3.1k

千里码博客
A.R.G.U.S.网络安全小组

便宜的SSL证书 www.ssl.com.ru

1.6k 声望
154 粉丝
0 条评论

便宜的SSL证书 www.ssl.com.ru

1.6k 声望
154 粉丝
文章目录
宣传栏