我的应用程序有一个注册服务,用户可以自己注册。然而,有恶意的人可以写一个脚本,在几秒钟内注册数千个账户。
我的后端开发人员建议我们在移动应用中使用验证码。然而,我没有看到任何应用程序使用验证码,它们是糟糕的UX。
我的问题是如何防止这种攻击,并确保我们的应用程序中的服务安全?
这个问题对于StackOverflow来说不是很理想,但是我记得我曾经遇到过同样的问题,因此我只是分享我的实现方法。
是的,对于一个移动应用来说,验证码是一个糟糕的糟糕的用户体验。这应该被避免。是的,当然我也避免了验证码的实现。
Dos攻击可以通过很多方式来预防,而且已经有一些非常成熟的技术来实现。你可以在你的服务器端容器中追踪来自特定IP地址的点击,如果你愿意,可以暂时封锁这个IP地址。如果是分布式攻击,你可以考虑忽略那些超出你能力范围的请求。
这些都是一些琐碎的建议。您也可以考虑在服务器端安装防火墙,这样可以提供这些内置的支持。CloudFlare是被广泛使用的防火墙之一。
有太多的选择,你可能会对dos攻击采取预防措施。只需在你的服务器端选择其中一个。如果是你的web应用,你可以考虑保留一个google的重验证码,但是对于移动应用来说,显示验证码的想法是可怕的。
在我目前的工作中,我们正在开发一个被动的移动验证码SDK,叫做 人类检测. 它对你的终端用户是透明的。它抓取传感器数据来决定手机是否被人拿着。
1:你需要为你的终端设置IP检查和API每秒调用比例,以限制同一IP的调用。
2:更简单的方法,把拨打电话的IP记录在数据库里,然后对照检查,(会给你的DB带来沉重的负担,因为电话要经过你的web服务器层),如果电话打通了,你可能无论如何也没有一个安全的服务器保护你不被DDOS攻击。
也许对你来说,使用一些API方法来检查注册是否有垃圾信息会更有用。
例如,这个API检查注册是否有垃圾信息 https:/cleantalk.orghelpapi-check-newuser。
你可以在网络上添加多层安全。为此,你应该与你的后台开发人员讨论增加证书钉的问题。
这个 是一个很好的解释如何做到这一点.你也可以加密任何敏感信息在网络上传递。
还有其他的方法,如Basic,Digest认证等,可以添加进一步提高安全性。