社区
PHP
帖子详情
如何防止表单模拟提交
༺ཌༀཉི浮华背后༃ༀད༻
2016-10-14 10:32:39
场景描述:
客户通过非法手段在后台进行发布和修改以及删除文章,会造成大批量的数据错误。
已知解决方案:
1、SESSION和TOKEN结合限制;
漏洞:抓取到页面有效数据(TOKEN)后进行模拟GET或POST提交,服务器进行验证时,token总是对的;
2、限制每个客户操作文章的次数;
漏洞:限制的次数不好把握,对正常客户非常不利;
3、验证码;
弊端:客户体验非常差。
以上方案都被忽略了,求教其它“有效”方案。
...全文
620
12
打赏
收藏
如何防止表单模拟提交
场景描述: 客户通过非法手段在后台进行发布和修改以及删除文章,会造成大批量的数据错误。 已知解决方案: 1、SESSION和TOKEN结合限制; 漏洞:抓取到页面有效数据(TOKEN)后进行模拟GET或POST提交,服务器进行验证时,token总是对的; 2、限制每个客户操作文章的次数; 漏洞:限制的次数不好把握,对正常客户非常不利; 3、验证码; 弊端:客户体验非常差。 以上方案都被忽略了,求教其它“有效”方案。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
12 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
༺ཌༀཉི浮华背后༃ༀད༻
2016-11-03
打赏
举报
回复
非常感谢各位楼主的解答,通过研究,我实施了以下方案,结果还是可以的: 1、利用Apache访问日志,检测出访问频率最高的哪些问题页面,然后针对这也页面的访问频率进行限制,比如: 单个用户订单列表页的请求次数在一分钟内超出了100次,正常值每分钟也就10次左右,那么就限制订单列表页面的访问频率为每分钟不得超过30或50次; 2、如果发现由超出限制的用户,那么禁止他访问一小时;(实属被逼无奈,谁让他的访问数据那么像用工具刷的呢!) 3、对每次的超限行为记录日志,必要时作为证据; 虽然以上方案有些生硬,但经过实际操作,确实有了很大效果。仅供参考。
涵宇菲子
2016-10-22
打赏
举报
回复
qa2080639
2016-10-20
打赏
举报
回复
不能防止 只能增加模拟成本。加个滑动验证码 js里写高强度加密校验
智商众筹
2016-10-20
打赏
举报
回复
客户通过非法手段在后台进行发布和修改以及删除文章,会造成大批量的数据错误。 从非法手段入手,难度较大,像上面说的仅仅提高了curl成本,可能无法根治。数据错误是什么?通过验证提交数据能不能区分正常内容和捣蛋的?另外可不可以从业务入手?比如限制1小时最多发布3篇文章,超出后立刻锁定账号,此时给网站管理员发一条短信,登陆系统看看这个账号都发布的什么内容,如果正常就手动解锁,否则永久封禁。
游北亮
2016-10-20
打赏
举报
回复
token跟验证码其实是一样的, 只不过一个不要手工输入,一个需要手工输入。 另外,网上一堆识别验证码的破解……
游北亮
2016-10-20
打赏
举报
回复
1、SESSION和TOKEN结合限制; 漏洞:抓取到页面有效数据(TOKEN)后进行模拟GET或POST提交,服务器进行验证时,token总是对的; 首先,这个token肯定是每次都会变化的;每个token只能提交一次; 其次,可以抓取到有效Token后模拟提交, 这种不应该防,为什么要防?这相当于正常的进入页面编辑后提交啊 至于造成数据错误,那是你的程序有bug,正常流程不应该出现错误数据, 你要做的,就是修复。 另外,你可以增加ip维度或user维度的 操作频率检测,比如限制每分钟只能提交1次等
lanshs
2016-10-20
打赏
举报
回复
SESSION和TOKEN防止跨域,但人家根本不需要通过跨域。 验证码防机器人,如果操作的是人不是机器人呢。 能通过后台验证了,要删东西你还能阻止吗,阻止了正常用户就不能删了。 重点不是在表单模拟,而是,为何非正常用户能通过验证。
BUG医生
2016-10-14
打赏
举报
回复
给后端管理员分配角色和操作权限,这样即使别人黑进来了,也没有权限去访问和操作
果酱很好吃
2016-10-14
打赏
举报
回复
只有点击到编辑或添加的页面才生成动态的 token,并存在session,必要时可将存放token的input的name 属性也弄成动态的,还可以在页面加载完成后用 js 获取token 然后限制在规定时间内发表次数,比如 1小时5篇,超过后发表要输入验证码
xuzuning
2016-10-14
打赏
举报
回复
加一层(或更多)js 跳转 加一次(或更多)ajax 会话 用 js 引入第三方认证 等等,等等 使用时随机选取一到几种方案(包括你已有的) 验证时,除方案本身外,方案数也在验证之列 需要注意的是,所有可能的方案都只是延缓被破解的时间,增加破解的难度 不存在不可破解的方案。如果真的存在的话,经我们这一讨论,破解方法也就出现了
panyyer
2016-10-14
打赏
举报
回复
去看看csrf验证吧,这个肯定是你想要的
表
单
自动填写,网页自动
提交
工具
模拟人工
提交
网页
表
单
操作,同时监控
提交
结果变化并报警提示或自动处理报警动作。可广泛用于注册
表
单
、登陆
表
单
、信息添加修改
表
单
提交
。 1、支持多任务多操作连续
提交
,实现无人值守。 2、支持通过多代理服务器访问并
提交
3、支持自动获取填写
表
单
项 4、自动填写内容可以是固定值、从字典文件中读取的内容或验证图片的识别结果。 5、支持按钮
提交
、
表
单
提交
以及自定义脚本
提交
。 6、批量导入相似页面,实现顺序
提交
或随机
提交
7、实现网页整体监控、HTML元素监控、源代码监控。 8、多种报警处理方式:声音报警、弹窗报警、触发新任务或第三方程序 9、支持定时任务,程序可后台隐藏执行
C#网络应用编程(第2版)PDF附源代码
C#网络应用编程 不管你是做B/S或C/S这本收非常值得一看,里面的和CP UDP P2P多线程,winform模拟
提交
表
单
等都讲了,非常的全,收获甚多.
Java全栈工程师-Struts2框架
本课程讲解Struts2的执行流程和基本原理分析 本课程全面讲解Struts2的数据封装方式和值栈数据的存储和获取 本课程讲解Struts2
防止
表
单
重复
提交
和注解方式的开发
java怎么
防止
表
单
重复
提交
_如何
防止
表
单
重复
提交
在平时开发中,如果网速比较慢的情况下,用户
提交
表
单
后,发现服务器半天都没有响应,那么用户可能会以为是自己没有
提交
表
单
,就会再点击
提交
按钮重复
提交
表
单
,我们在开发中必须
防止
表
单
重复
提交
。一、
表
单
重复
提交
的常见应用场景有如下的form.jsp页面1 2 3 4 5 Form
表
单
6 78 9 10 用户名:11 12 13 14...
防止
表
单
重复
提交
防止
表
单
重复
提交
PHP
20,359
社区成员
19,658
社区内容
发帖
与我相关
我的任务
PHP
“超文本预处理器”,是在服务器端执行的脚本语言,尤其适用于Web开发并可嵌入HTML中。PHP语法利用了C、Java和Perl,该语言的主要目标是允许web开发人员快速编写动态网页。
复制链接
扫一扫
分享
社区描述
“超文本预处理器”,是在服务器端执行的脚本语言,尤其适用于Web开发并可嵌入HTML中。PHP语法利用了C、Java和Perl,该语言的主要目标是允许web开发人员快速编写动态网页。
php
phpstorm
技术论坛(原bbs)
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章