公司网站被恶意提交订单,看你如何解决?
情逍遥 | 2014-04-02 10:23
http://www.178wh.com/bdjs/?16 公司网站,可以提交订单。整天闲在蛋碎的人来提交很多没用的订单,各种XSS, 这种还好, 都是用邮箱接收的,所以说不碍事。 但是最近几天有人恶意一直提交,一分钟有20个订单左右。
应该是用什么脚本刷的,请问是用什么脚本写的? 公司网站是用PHP写的, 请问这种的用PHP写的怎么防止呐?
判断如果提交了订单就不让他提交了,还是?求解。我会感谢各位的!
相关内容:
1#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:25
验证码~ ip限制~
2#
情逍遥 | 2014-04-02 10:27
@熊猫 验证码添加了,但是无效,貌似他写的脚本能获取到验证码,IP限制他了,然后他就换一个IP来恶意提交订单。貌似
这人给这网站有仇。。。
3#
浮生若梦 | 2014-04-02 10:28
1楼正解。
4#
情逍遥 | 2014-04-02 10:30
@浮生若梦 写的验证无效,软件能获取到,
5#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:31
验证码都能获取。。就是识别的问题 加强验证码咯
6#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:31
IP是可以代理0 0
7#
情逍遥 | 2014-04-02 10:36
@熊猫 验证码加强了干扰, 他还是能一直提交。 IP提交了就换
8#
继续沉默 (哥就是帅) | 2014-04-02 10:40
整天卖这种东西骗人,活该啊
9#
j2ck3r (我家里人什么都不知道。) | 2014-04-02 10:41
整天卖这种东西骗人,活该啊 +1
10#
浮生若梦 | 2014-04-02 10:41
@情逍遥 验证码若无效,那么腾讯这些大站早就死绝了。还是让你们公司的程序员好好看看代码
防御:
一:验证码存储在cookie或session应该加密,而不是以明文的形式。
二:那种只有简单的干扰线、雪花点,那么这种验证码有加跟没有差不多。验证码借鉴的网站:腾讯。discuz我记得有个云验证码的插件,不知道有木有将验证码的生成方式存储在本地,我这人比较懒,你可以去看下。
三:尝试获取机器信息,例如Mac等。
四:将Cookies写进客户端,检测某个Cookies是否存在,若存在则限制提交。
五:所有提交数据加密。
攻击:
一:腾讯的验证码有人能识别率在40%,若对方不会识别,加入远程打码,1分钱一个也可以砸死你。
二:IP限制?伪造ip若无效,我代理IP也可以搞死你。
三:获取MAC信息比较蛋疼,只不过若你是通过接收信息的,我这边依旧可以伪造,哪怕你直接服务器获取,我这边也可以修改MAC信息,只不过能减缓提交的速度而已。
四:Cookies写进客户端?我不进行Cookes的处理,你又该如何存储?
五:只要是在JS,那么依旧可以逆向,哪怕你直接服务器不通过下发给用户,破解也只是时间的问题。
若有人愿意拿钱砸,你再多防护也没有用。最好验证码、Ip、以及其余防护,那么剩余的就看个人的RP了。我记得网易的话,还会读取下客户端的信息,如:窗口分辨率、还有一些乱七八糟的东西。
11#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:42
⊙▽⊙我是小白我就随便说下呢!
验证码不够难 验证码被绕过 提交订单之前验证下。。不然就像爆破密码一样无限试
0 0
12#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:45
http://wooyun.org/bugs/wooyun-2010-028109
13#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:46
http://wooyun.org/bugs/wooyun-2010-025245
14#
Chora (生存、生活、生命。) | 2014-04-02 10:49
他不知道你规则的话其实难度也挺大的,记录下referer,ip,ua,虽然可伪造,但是他咋知道你的规则呢,如果遇到有心人就在加一个提交限制吧,提交time做好记录,在X秒内连续提交就加验证码,如果验证码被识别了就在X秒内驳回所有请求就对了,没有绝对的防御跟安全啦。
15#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:50
噗。。居然卖这个
16#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:52
@浮生若梦
17#
情逍遥 | 2014-04-02 10:53
@熊猫 我只是打工的,我只能做好自己该做的事情 = =
18#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:54
@熊猫 emoji表情不显示啊。。
19#
Chora (生存、生活、生命。) | 2014-04-02 10:54
能送我一个给我吗?我想丰丰胸肌,你看行不?
20#
情逍遥 | 2014-04-02 10:56
@Chora 这玩意,坑人的,广告给排名做的不错, 腹肌给胸肌,每天多做俯卧身,多多锻炼身体即可。
21#
浮生若梦 | 2014-04-02 10:56
@Chora 我觉得不靠谱。丰胸肌恐怕会下垂~还是弄下屁股估计效果会比较好。
22#
浮生若梦 | 2014-04-02 10:57
@熊猫 0.0!!!
23#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:57
@浮生若梦 么事。。
24#
by灰客 (3cc.pw 一个屌丝的blogส็็็็็็็) | 2014-04-02 12:24
我觉得不靠谱。丰胸肌恐怕会下垂~还是弄下屁股估计效果会比较好。
25#
雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2014-04-05 14:31
我觉得加上短信验证会好多了
26#
Mujj (Krypt VPS特价www.80host.com) | 2014-04-05 14:46
手机验证码
27#
Mujj (Krypt VPS特价www.80host.com) | 2014-04-05 14:46
验证手机验证码后自动减少20元金额,绝对OK的。
28#
无敌L.t.H (:门安天京北爱我Ѿ) | 2014-04-05 15:54
看那域名大概就是搞SF玩剩的,现在又搞这种……
都爆错了
D:\xxxXxxx\www.178wh.com\bdjs\shghnn\cs.php
还是先把站搞好吧
29#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-04-07 10:23
偷单的很多啊……