码迷,mamicode.com
首页 > Web开发 > 详细

WEB安全之垃圾信息防御措施

时间:2015-08-25 13:20:29      阅读:134      评论:0      收藏:0      [点我收藏+]

标签:

防止垃圾评论与机器人的攻击手段如下:

1)IP限制。其原理在于IP难以伪造。即使是对于拨号用户,虽然IP可变,但这也会大大增加共攻击的工作量。
2)验证码。其重点是让验证码难于识别,对于“字母+数字”的验证码,关键在于形变与重叠,增加其破解中切割和字模比对的难度,人眼尚且难以辨识,机器就更难处理了,再者是加大对于验证码的猜测难度。
3)Token和表单欺骗。通过加入隐藏的表单值或者故意对程序混淆表单值
4)审核机制。加大了管理人员的工作量,但理论上可以完全阻止垃圾评论,这是最无奈也是最有效的策略。
 
 
1.IP限制
      HTTP协议是透明的、公开的,服务器端根本无法区分来源是真实的提交还是伪造的。所以通过判断Referer等手段是于事无补的,但是HTTP也有自己的局限。由于HTTP协议是应用层的协议,是基于TCP/IP协议的。
      IP在TCP层传递,其传输需要通过TCP的“三次握手”。这个握手的过程中,有一个校验过程,因此IP是很难伪造的。而HTTP层属于顶层,无法控制IP,所以最简单有效的办法就是对IP进行限制。
      但是,不少代码会判断HTTP头的HTTP_X_FORWARDED是否是代理过来的,若是,则把其记为IP。但是,HTTP_X_FORWARDED来自于HTTP请求中的X Forwareded For报头,而这个报头是可以修改的。这就可能造成潜在的攻击。所以合理的判断是完全不考虑代理,而使用SERVER变量中的HTTP_CLIENT_IP或REMOTE_ADDR。二者难以伪造。出于安全考虑,凡是通过代理过来的请求或者HTTP头中包含XForwareded For报头的,很多程序采取了拒绝的方案。这种处理方式比较简单,误差也比较小。
 
2.Token法
要防止攻击的关键在于加大攻击的难度。最简单的是放一个隐藏可变的Token,每次提交都需要和服务器校对,若通不过,则为外部提交。
下面的代码称为Token法
<?php

define(‘SECRET‘,‘67%$#ap28‘);
function m_token()
{
    $str = mt_rand(1000,9999);
    $str2 = dechex($_SERVER[‘REQUEST_TIME‘] - $str);
    return $str.substr(md5($str.SECRET), 0, 10).$str2;
}

echo m_token();
echo ‘<br />‘;

/**
 * @param $str
 * @param int $delay 表示时间延迟,在不同的程序根据业务来自行修改
 */
function v_token($str,$delay=300)
{
    $rs = substr($str, 0, 4);
    $middle = substr($str, 0, 14);
    $rs2 = substr($str, 14, 8 );
    return ($middle == $rs.substr(md5($rs.SECRET), 0, 10)) && ($_SERVER[‘REQUEST_TIME‘] - hexdec($rs2) - $rs<$delay);
}

var_dump(v_token(m_token()));

 

3.验证码
对于预防一些灌水机器人,主要采取验证码一类的措施,包括中文验证码、回答验证,但是对于这两点,专业的灌水机器 人都可以突破。但是对于技术含量不高的,可以直到一定的阻止作用,同时也降低了用户体验。
灌水机器 人通常都会抓取页面的FROM表单,分析必填荐与非必填项,对于必填项构造请求。如果存在普通的图形验证码,则启用图形识别模块、破解验证码、构造完整的数据包。对此可以建立一个INPUT,用CSS或者间接通过JavaScript设其页面为不可见,如果服务器收到的数据包含有这个控件的值,那么肯定是来自机器提交。这样也能起到一定的效果。另外,对INPUT的值进行欺骗对博客的垃圾评论能起到一定的作用
用户名:或者可以做成图片附上机器的学习。
<input type="text" name="email" />实际上代表用户名。
<input type="text" name="url" />实际上是E-mail
<input type="text" name="author" />实际上是URL,而且是隐藏的不能有任何输入的字段。
      在服务器端,如果$_POST[‘email‘]匹配的是一个电子邮件地址,那么一定是灌水机器人。如果atuthor字段有值,那么其也一定是灌水机器人。这叫做机器学习欺骗。
同理,可以定期变更action的提交地址,加大灌水机器人的学习难度,也可以把所有数据改为后台审核。
      但是,经过灌水机器 的学习和模型修改,过一段时间必将卷土重来。阻止外部提交一直是个难题。对于表单,因为它是可见的,所以很难阻止机器的猜解和模拟。目前,可行的办法就是使用Active控件。主要是IE Only和技术难度高,大多数的网站无法使用这样的技术,特别是个人站点。
使用JavaScript进行加密验证和平衡图形验证码,可以阻止99%的外部提交。腾讯的大部分产品都使用了这种技术,比如微博和邮箱。
 

WEB安全之垃圾信息防御措施

标签:

原文地址:http://www.cnblogs.com/chenqionghe/p/4756639.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!