我參與爲非營利組織建立捐贈表。我們最近受到美元低點申請的快速回擊。許多卡都是無效的,但有一些經過了。顯然有人寫了一個腳本來檢查一堆卡號的有效性,可能以後他們可以賣掉它們。限制信用卡處理腳本/機器人的影響
有關如何防止或限制未來影響的任何想法?
我們可以控制系統的所有方面(代碼,網絡服務器等)。是的,表單通過https運行。來自同一IP地址
我參與爲非營利組織建立捐贈表。我們最近受到美元低點申請的快速回擊。許多卡都是無效的,但有一些經過了。顯然有人寫了一個腳本來檢查一堆卡號的有效性,可能以後他們可以賣掉它們。限制信用卡處理腳本/機器人的影響
有關如何防止或限制未來影響的任何想法?
我們可以控制系統的所有方面(代碼,網絡服務器等)。是的,表單通過https運行。來自同一IP地址
當無效的交易從單個IP地址的洪水或檢測到小範圍的地址,阻止該地址/網絡。
如果一個僵屍網絡正在使用,這將無濟於事。您仍然可以檢測到低美元金額的洪水,並在您受到攻擊時進行推斷;在這段時間內,拖延低美元金額提交,以使他們花更長的時間;爲美元低額捐款引入CAPTCHA;請諮詢銀行的防欺詐部門,以便他們可以利用您的服務器日誌來追捕肇事者。
強制捐助者創建帳戶以進行捐贈;使用CAPTCHA保護帳戶創建,以及來自任何一個帳戶的費率限制捐款。
提高最低允許捐贈的數量,以免詐騙分子以這種方式使用您的經濟狀況。
限制提交到每分鐘,或任何時間,將採取一個真實的人合理的時間填寫表格
我想說的更多,也許每小時一次或每天一次。我的意思是,有些人多久會捐贈一個網站?大多數人可能不會每月捐贈超過一次給特定的慈善機構。 – davr 2008-10-02 18:38:25
將最低的捐贈提高到一個不再具有財務意義的程度,這樣騙子就會以這種方式使用你,這將有助於普遍。
這個。無論如何,你有多少合法捐款可以得到5美元?
而不是CAPTCHA,它會惹惱用戶,你可能想要利用這個事實,即大多數人都有javascript啓用,而機器人不啓用。只需創建一小段JavaScript,在運行時在隱藏字段中插入特定值。
對於那些已禁用Javascript的用戶,可以顯示CAPTCHA(使用<noscript>
標籤),然後只有在這些措施中的任何一個檢查出來時才能接受提交。
爲了最大程度地厭煩惡作劇者,你可以區分成功消息和失敗消息之間的計算難以區分(比如說,除了一張顯示消息的圖片外,所有東西都是一樣的),但對於人來說很容易理解。
CAPTCHA應該做到這一點 – 2008-10-02 18:51:26
CAPTCHA的絕對一切都會刺激合法的捐助者。您想盡可能輕鬆地捐款。 – moonshadow 2008-10-02 18:56:46