1
我的應用程序有一個註冊服務,用戶可以註冊自己。然而,有惡意意圖的人可以在幾秒鐘內編寫一個腳本來註冊數千個帳戶。如何在不使用驗證碼的情況下保護我的應用程序註冊服務安全?
我的後端開發人員建議我們在我們的移動應用中使用驗證碼。但是,我沒有看到任何使用驗證碼的應用程序,它們是糟糕的用戶體驗。
我的問題是如何防止這種類型的攻擊和保護我們的應用程序在我們的服務?
A
回答
0
這個問題對於StackOverflow並不是很理想,但我記得我遇到過一次相同的問題,因此我只是分享我的實現。
是的驗證碼是一個糟糕的用戶體驗移動應用程序。這應該避免。是的,當然,我也避免了驗證碼的實現。
Dos攻擊可以通過很多方式阻止,並且已經有一些非常成熟的技術。您可以跟蹤服務器端容器中特定IP地址的命中,並且可以在需要時臨時阻止IP地址。在發生分佈式攻擊的情況下,您可能會考慮忽略超出您能力的請求。
這些是一些微不足道的建議。你可能會考慮在你的服務器端也有防火牆,這可能會給這些內置支持。 CloudFlare是廣泛使用的防火牆之一。
有很多選項可以預防dos攻擊。只需在服務器端選擇其中一個。如果您的網絡應用程序,您可能會考慮保持谷歌重新驗證碼,但對於移動應用程序,顯示驗證碼的想法是可怕的。
0
1:您需要設置IP檢查和API呼叫比率/每秒對您的端點進行呼叫以限制來自同一IP的呼叫。
2:更簡單的方法,記錄在數據庫中進行調用的IP並檢查它,(因爲調用通過您的Web服務器層,會給DB帶來沉重負擔),並且如果調用通過,您可能反正沒有安全的服務器可以保護你免受DDOS攻擊。
0
0
對於您來說,使用某些API方法檢查垃圾郵件註冊可能會更有用。
作爲例子,這個API來檢查登記爲垃圾郵件https://cleantalk.org/help/api-check-newuser
相關問題
- 1. 如何使用註冊碼保護移動應用程序?
- 2. 在不運行應用程序的情況下注冊後臺任務
- 3. 如何在不註冊應用程序的情況下測試遊戲中心?
- 4. Android應用程序的註冊驗證
- 5. 如何在不使用任何證書的情況下使用公鑰/私鑰對來保護WCF服務
- 6. 在不使用用戶名密碼認證的情況下保護servlet URL
- 7. 如何在不使用vsdrfcomselfreg的情況下注冊DLL
- 8. 如何在這種情況下使用驗證程序是ASP.NET?
- 9. 如何在不使用SSL的情況下保護POST方法?
- 10. 我如何使我的iPad安全使用我自己的(密碼保護)應用程序在iphone sdk
- 11. 從反彙編程序保護我的應用程序安全
- 12. 如何保護Android應用程序將使用的WCF服務?
- 13. 如何在未註冊的情況下在FOSUserBundle中使用郵件程序?
- 14. 如何在不使用svcutil.exe的情況下使用WCF服務?
- 15. 如何在不使用應用程序服務的應用程序設置的情況下保護Azure客戶端ID和祕密
- 16. 如何在不使用go的情況下安裝Go應用程序?
- 17. 如何在不使用OAuth的情況下製作安全API?
- 18. 如何在安全的情況下製作spring-boot REST服務?
- 19. 在沒有註冊帳戶的情況下識別應用程序的用戶
- 20. 在不註冊服務類型的情況下解析autofac中的服務
- 21. iOS應用程序的用戶註冊和身份驗證服務
- 22. 如何在macOS應用程序中註冊來自應用程序的服務?
- 23. 如何保護不使用身份驗證的AngularJS應用程序?
- 24. 如何在不停止服務器的情況下使用我們的django應用程序進行加密?
- 25. 如何在我的註冊表格中保護我的密碼?
- 26. 註冊新的應用程序實例與服務器的安全方法
- 27. 如何在沒有硬編碼的情況下將服務的URL注入iPhone應用程序?
- 28. 使用spring安全保護android應用程序的rest API
- 29. Web應用程序與OpenAM的安全性如何保護
- 30. 如何驗證Twitter用戶並在不離開我的iPhone應用程序的情況下訪問API?
這都不是很多工作要做,客戶端,所以我建議您打開的標籤和你的解釋來描述服務器環境。 – CommonsWare
您可以通過IP進行費率限制,並僅對可疑行爲顯示驗證碼。 – SLaks
這種問題沒有銀彈。只允許通過IP進行註冊,驗證碼,或者需要有真實的郵件地址都是已知的解決方案。 – JFPicard