如何防止表单模拟提交

༺ཌༀཉི浮华背后༃ༀད༻ 2016-10-14 10:32:39

场景描述：
客户通过非法手段在后台进行发布和修改以及删除文章，会造成大批量的数据错误。

已知解决方案：
1、SESSION和TOKEN结合限制；
漏洞：抓取到页面有效数据（TOKEN）后进行模拟GET或POST提交，服务器进行验证时，token总是对的；
2、限制每个客户操作文章的次数；
漏洞：限制的次数不好把握，对正常客户非常不利；
3、验证码；
弊端：客户体验非常差。

以上方案都被忽略了，求教其它“有效”方案。

...全文

620 12 打赏收藏转发到动态举报

写回复

用AI写文章

12 条回复

切换为时间正序

请发表友善的回复…

发表回复

༺ཌༀཉི浮华背后༃ༀད༻ 2016-11-03

打赏
举报

非常感谢各位楼主的解答，通过研究，我实施了以下方案，结果还是可以的： 1、利用Apache访问日志，检测出访问频率最高的哪些问题页面，然后针对这也页面的访问频率进行限制，比如：单个用户订单列表页的请求次数在一分钟内超出了100次，正常值每分钟也就10次左右，那么就限制订单列表页面的访问频率为每分钟不得超过30或50次； 2、如果发现由超出限制的用户，那么禁止他访问一小时；（实属被逼无奈，谁让他的访问数据那么像用工具刷的呢！） 3、对每次的超限行为记录日志，必要时作为证据；虽然以上方案有些生硬，但经过实际操作，确实有了很大效果。仅供参考。

涵宇菲子 2016-10-22

打赏
举报

qa2080639 2016-10-20

打赏
举报

不能防止只能增加模拟成本。加个滑动验证码 js里写高强度加密校验

智商众筹 2016-10-20

打赏
举报

客户通过非法手段在后台进行发布和修改以及删除文章，会造成大批量的数据错误。从非法手段入手，难度较大，像上面说的仅仅提高了curl成本，可能无法根治。数据错误是什么？通过验证提交数据能不能区分正常内容和捣蛋的？另外可不可以从业务入手？比如限制1小时最多发布3篇文章，超出后立刻锁定账号，此时给网站管理员发一条短信，登陆系统看看这个账号都发布的什么内容，如果正常就手动解锁，否则永久封禁。

游北亮 2016-10-20

打赏
举报

token跟验证码其实是一样的，只不过一个不要手工输入，一个需要手工输入。另外，网上一堆识别验证码的破解……

游北亮 2016-10-20

打赏
举报

1、SESSION和TOKEN结合限制；漏洞：抓取到页面有效数据（TOKEN）后进行模拟GET或POST提交，服务器进行验证时，token总是对的；首先，这个token肯定是每次都会变化的；每个token只能提交一次；其次，可以抓取到有效Token后模拟提交，这种不应该防，为什么要防？这相当于正常的进入页面编辑后提交啊至于造成数据错误，那是你的程序有bug，正常流程不应该出现错误数据，你要做的，就是修复。另外，你可以增加ip维度或user维度的操作频率检测，比如限制每分钟只能提交1次等

lanshs 2016-10-20

打赏
举报

SESSION和TOKEN防止跨域，但人家根本不需要通过跨域。验证码防机器人，如果操作的是人不是机器人呢。能通过后台验证了，要删东西你还能阻止吗，阻止了正常用户就不能删了。重点不是在表单模拟，而是，为何非正常用户能通过验证。

BUG医生 2016-10-14

打赏
举报

给后端管理员分配角色和操作权限，这样即使别人黑进来了，也没有权限去访问和操作

果酱很好吃 2016-10-14

打赏
举报

只有点击到编辑或添加的页面才生成动态的 token，并存在session，必要时可将存放token的input的name 属性也弄成动态的，还可以在页面加载完成后用 js 获取token 然后限制在规定时间内发表次数，比如 1小时5篇，超过后发表要输入验证码

xuzuning 2016-10-14

打赏
举报

加一层（或更多）js 跳转加一次（或更多）ajax 会话用 js 引入第三方认证等等，等等使用时随机选取一到几种方案（包括你已有的）验证时，除方案本身外，方案数也在验证之列需要注意的是，所有可能的方案都只是延缓被破解的时间，增加破解的难度不存在不可破解的方案。如果真的存在的话，经我们这一讨论，破解方法也就出现了