公司网站被恶意提交订单,看你如何解决?

情逍遥 | 2014-04-02 10:23

http://www.178wh.com/bdjs/?16 公司网站,可以提交订单。整天闲在蛋碎的人来提交很多没用的订单,各种XSS, 这种还好, 都是用邮箱接收的,所以说不碍事。 但是最近几天有人恶意一直提交,一分钟有20个订单左右。

应该是用什么脚本刷的,请问是用什么脚本写的? 公司网站是用PHP写的, 请问这种的用PHP写的怎么防止呐?

判断如果提交了订单就不让他提交了,还是?求解。我会感谢各位的!

[原文地址]

相关内容:

1#

熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:25

验证码~ ip限制~

2#

情逍遥 | 2014-04-02 10:27

@熊猫 验证码添加了,但是无效,貌似他写的脚本能获取到验证码,IP限制他了,然后他就换一个IP来恶意提交订单。貌似

这人给这网站有仇。。。

3#

浮生若梦 | 2014-04-02 10:28

1楼正解。

4#

情逍遥 | 2014-04-02 10:30

@浮生若梦 写的验证无效,软件能获取到,

5#

熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:31

验证码都能获取。。就是识别的问题 加强验证码咯

6#

熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:31

IP是可以代理0 0

7#

情逍遥 | 2014-04-02 10:36

@熊猫 验证码加强了干扰, 他还是能一直提交。 IP提交了就换

8#

继续沉默 (哥就是帅) | 2014-04-02 10:40

整天卖这种东西骗人,活该啊

9#

j2ck3r (我家里人什么都不知道。) | 2014-04-02 10:41

整天卖这种东西骗人,活该啊 +1

10#

浮生若梦 | 2014-04-02 10:41

@情逍遥 验证码若无效,那么腾讯这些大站早就死绝了。还是让你们公司的程序员好好看看代码

防御:

一:验证码存储在cookie或session应该加密,而不是以明文的形式。

二:那种只有简单的干扰线、雪花点,那么这种验证码有加跟没有差不多。验证码借鉴的网站:腾讯。discuz我记得有个云验证码的插件,不知道有木有将验证码的生成方式存储在本地,我这人比较懒,你可以去看下。

三:尝试获取机器信息,例如Mac等。

四:将Cookies写进客户端,检测某个Cookies是否存在,若存在则限制提交。

五:所有提交数据加密。

攻击:

一:腾讯的验证码有人能识别率在40%,若对方不会识别,加入远程打码,1分钱一个也可以砸死你。

二:IP限制?伪造ip若无效,我代理IP也可以搞死你。

三:获取MAC信息比较蛋疼,只不过若你是通过接收信息的,我这边依旧可以伪造,哪怕你直接服务器获取,我这边也可以修改MAC信息,只不过能减缓提交的速度而已。

四:Cookies写进客户端?我不进行Cookes的处理,你又该如何存储?

五:只要是在JS,那么依旧可以逆向,哪怕你直接服务器不通过下发给用户,破解也只是时间的问题。

若有人愿意拿钱砸,你再多防护也没有用。最好验证码、Ip、以及其余防护,那么剩余的就看个人的RP了。我记得网易的话,还会读取下客户端的信息,如:窗口分辨率、还有一些乱七八糟的东西。

11#

熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:42

⊙▽⊙我是小白我就随便说下呢!

验证码不够难 验证码被绕过 提交订单之前验证下。。不然就像爆破密码一样无限试

0 0

12#

熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:45

http://wooyun.org/bugs/wooyun-2010-028109

13#

熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:46

http://wooyun.org/bugs/wooyun-2010-025245

14#

Chora (生存、生活、生命。) | 2014-04-02 10:49

他不知道你规则的话其实难度也挺大的,记录下referer,ip,ua,虽然可伪造,但是他咋知道你的规则呢,如果遇到有心人就在加一个提交限制吧,提交time做好记录,在X秒内连续提交就加验证码,如果验证码被识别了就在X秒内驳回所有请求就对了,没有绝对的防御跟安全啦。

15#

熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:50

噗。。居然卖这个

16#

熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:52

@浮生若梦

17#

情逍遥 | 2014-04-02 10:53

@熊猫 我只是打工的,我只能做好自己该做的事情 = =

18#

熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:54

@熊猫 emoji表情不显示啊。。

19#

Chora (生存、生活、生命。) | 2014-04-02 10:54

能送我一个给我吗?我想丰丰胸肌,你看行不?

20#

情逍遥 | 2014-04-02 10:56

@Chora 这玩意,坑人的,广告给排名做的不错, 腹肌给胸肌,每天多做俯卧身,多多锻炼身体即可。

21#

浮生若梦 | 2014-04-02 10:56

@Chora 我觉得不靠谱。丰胸肌恐怕会下垂~还是弄下屁股估计效果会比较好。

22#

浮生若梦 | 2014-04-02 10:57

@熊猫 0.0!!!

23#

熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-02 10:57

@浮生若梦 么事。。

24#

by灰客 (3cc.pw 一个屌丝的blogส็็็็็็็) | 2014-04-02 12:24

我觉得不靠谱。丰胸肌恐怕会下垂~还是弄下屁股估计效果会比较好。

25#

雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2014-04-05 14:31

我觉得加上短信验证会好多了

26#

Mujj (Krypt VPS特价www.80host.com) | 2014-04-05 14:46

手机验证码

27#

Mujj (Krypt VPS特价www.80host.com) | 2014-04-05 14:46

验证手机验证码后自动减少20元金额,绝对OK的。

28#

无敌L.t.H (:‮门安天京北爱我Ѿ) | 2014-04-05 15:54

看那域名大概就是搞SF玩剩的,现在又搞这种……

都爆错了

D:\xxxXxxx\www.178wh.com\bdjs\shghnn\cs.php

还是先把站搞好吧

29#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-04-07 10:23

偷单的很多啊……