1
我的應用程序有一個註冊服務,用戶可以註冊自己。然而,有惡意意圖的人可以在幾秒鐘內編寫一個腳本來註冊數千個帳戶。如何在不使用驗證碼的情況下保護我的應用程序註冊服務安全?
我的後端開發人員建議我們在我們的移動應用中使用驗證碼。但是,我沒有看到任何使用驗證碼的應用程序,它們是糟糕的用戶體驗。
我的問題是如何防止這種類型的攻擊和保護我們的應用程序在我們的服務?
A
回答
0
這個問題對於StackOverflow並不是很理想,但我記得我遇到過一次相同的問題,因此我只是分享我的實現。
是的驗證碼是一個糟糕的用戶體驗移動應用程序。這應該避免。是的,當然,我也避免了驗證碼的實現。
Dos攻擊可以通過很多方式阻止,並且已經有一些非常成熟的技術。您可以跟蹤服務器端容器中特定IP地址的命中,並且可以在需要時臨時阻止IP地址。在發生分佈式攻擊的情況下,您可能會考慮忽略超出您能力的請求。
這些是一些微不足道的建議。你可能會考慮在你的服務器端也有防火牆,這可能會給這些內置支持。 CloudFlare是廣泛使用的防火牆之一。
有很多選項可以預防dos攻擊。只需在服務器端選擇其中一個。如果您的網絡應用程序,您可能會考慮保持谷歌重新驗證碼,但對於移動應用程序,顯示驗證碼的想法是可怕的。
0
1:您需要設置IP檢查和API呼叫比率/每秒對您的端點進行呼叫以限制來自同一IP的呼叫。
2:更簡單的方法,記錄在數據庫中進行調用的IP並檢查它,(因爲調用通過您的Web服務器層,會給DB帶來沉重負擔),並且如果調用通過,您可能反正沒有安全的服務器可以保護你免受DDOS攻擊。
0
0
對於您來說,使用某些API方法檢查垃圾郵件註冊可能會更有用。
作爲例子,這個API來檢查登記爲垃圾郵件https://cleantalk.org/help/api-check-newuser
相關問題
- 1. 如何在不使用驗證碼的情況下保護JSON電話
- 2. 如何使用註冊碼保護移動應用程序?
- 3. 在不運行應用程序的情況下注冊後臺任務
- 4. 如何在不註冊應用程序的情況下測試遊戲中心?
- 5. Android應用程序的註冊驗證
- 6. 如何使用AWS身份驗證保護我的wcf服務
- 7. 我可以在沒有業務應用程序模板的情況下使用身份驗證域服務嗎?
- 8. 如何在不使用任何證書的情況下使用公鑰/私鑰對來保護WCF服務
- 9. 在不使用用戶名密碼認證的情況下保護servlet URL
- 10. 如何在不使用vsdrfcomselfreg的情況下注冊DLL
- 11. 在不打開應用程序的情況下運行服務
- 12. 我如何使我的iPad安全使用我自己的(密碼保護)應用程序在iphone sdk
- 13. 如何在這種情況下使用驗證程序是ASP.NET?
- 14. 如何在不使用SSL的情況下保護登錄?
- 15. 如何在不使用SSL的情況下保護POST方法?
- 16. 如何在沒有SSL的情況下保護用戶的身份驗證?
- 17. 如何在不使用完全限定域名的情況下從不安全頁面發佈安全服務?
- 18. 從反彙編程序保護我的應用程序安全
- 19. 如何在沒有suhosin的情況下使用PHP7服務器來保護CentOS?
- 20. 如何在不使用驗證碼的情況下保護網站免受垃圾郵件的侵害
- 21. Mvc應用程序(默認情況下)用戶註冊
- 22. 在不使用視圖的情況下使用安全社會服務
- 23. 用於應急響應的iOS應用程序 - 如何在沒有密碼的情況下保護數據?
- 24. 如何保護Android應用程序將使用的WCF服務?
- 25. 在安全的情況下使用rails
- 26. 如何在未註冊的情況下在FOSUserBundle中使用郵件程序?
- 27. 如何在安全的情況下遠程使用jenkins
- 28. 如何在不使用svcutil.exe的情況下使用WCF服務?
- 29. 如何在不使用應用程序服務的應用程序設置的情況下保護Azure客戶端ID和祕密
- 30. 如何保護我的密碼安全?
這都不是很多工作要做,客戶端,所以我建議您打開的標籤和你的解釋來描述服務器環境。 – CommonsWare
您可以通過IP進行費率限制,並僅對可疑行爲顯示驗證碼。 – SLaks
這種問題沒有銀彈。只允許通過IP進行註冊,驗證碼,或者需要有真實的郵件地址都是已知的解決方案。 – JFPicard