資訊專欄INFORMATION COLUMN
摘要:刷票行為,一直以來都是個難題,無法從根本上防止。基于,下面介紹防刷票的一些技巧校驗。攻擊手段限制加上投票限制。預防對策限時投票投票程序,只在某個時間段內開放。預防對策投票間隔用戶投票后,需要隔多長時間才能繼續投。
刷票行為,一直以來都是個難題,無法從根本上防止。
但是我們可以盡量減少刷票的傷害,比如:通過人為增加的邏輯限制。
基于 PHP,下面介紹防刷票的一些技巧:
1、HTTP_REFERER : 校驗 $_SERVER["HTTP_REFERER"]。可偽造,使用 CURL。
curl_setopt($ch, CURLOPT_REFERER, "HTTP://www.baidu.com");(攻擊手段)
2、IP限制:加上 IP 投票限制。可偽造,使用 CURL。
$ip = ***.***.***.***;
$header = array(
"CLIENT-IP:{$ip}",
"X-FORWARDED-FOR:{$ip}",
);
curl_setopt($ch, CURLOPT_HTTPHEADER, $header);(攻擊手段)
3、User-Agent:校驗 $_SERVER["HTTP_USER_AGENT"]。可偽造,使用 CURL。
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.0)");(攻擊手段)
4、驗證碼:采用非常復雜的驗證碼,可以防止一些菜鳥攻擊者。
a:但是專業刷票機可以攻破。如果不用驗證碼,投票基本就歇菜了。 b:驗證碼獲取方式,采用異步加載,即點擊輸入框時,才去請求。 c:投票成功后,刪除驗證碼的 Session。
5、登錄:用戶必須登錄才能投票。
a:可以攻破,寫程序不斷注冊新用戶,然后用來投票。(攻擊手段) b:指定大于某個 UID 的用戶,或者某段時間內活躍的用戶,才能進行投票。(預防對策)
6、限時投票:投票程序,只在某個時間段內開放。否則,對方半夜刷票,你咋辦?
a:從 早 8 點 至 晚 23 點。(預防對策)
7、投票間隔:用戶投票后,需要隔多長時間才能繼續投。
a:很多投票站點基本上都有這個限制,但是對于更改 IP的攻擊,就沒辦法了。 b:針對 UID 限制,可以有效防止攻擊,但是可以使用批量注冊馬甲用戶。
8、投票結果展示:延遲展示,友好展示。
a:頁面上投票,JS 立馬加1,但是刷新頁面,不一定立馬展示最新投票結果。 b:返回狀態給頁面(感謝您的投票!或者 投票成功!至于有沒有成功,另說了!)
9、補票邏輯:常見于一些軟件評選之類的投票。
a:有時候軟件廠商會為了讓自己的票數高一點,會私下給活動舉辦商 $,后臺進行補票。 b:后臺跑腳本,采用 IP 庫,緩慢平滑的增加票數。
10、扣量邏輯:常見于一些軟件評選之類的投票。
a:這是個殺手锏,后臺跑腳本實時監控異常增長(刷票)的項,然后實施扣量邏輯。 b:即對于這個項,投 10 票才算一票。
11、Cookie:常用的手段。比較低級。
a:投票后,在客戶端寫入 Cookie,下次投票時判斷 Cookie 是否存在。 b:但是,這種方式非常容易攻破,因為 Cookie 可刪除。
12、加密選項 ID:對一些投票選項的ID,進行隨機加密。
a:加密算法,加Salt,并且設置有效時間,比如5分鐘內。 b:服務器端進行解密并且驗證。
13、人工刷票:沒辦法防。。
a:雇傭了一批水軍,進行刷票,這個真沒轍,人家確實是花了血本的。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/20828.html
摘要:識別嫌疑操作的批量注冊和惡意登錄行為,是杜絕羊毛黨的重中之重。識別出羊毛黨后,如何處理這幫人也是一個重要的課題,因為防刷注定是一個攻防對抗的過程。 歡迎訪問網易云社區,了解更多網易技術產品運營經驗。 營銷活動中,抽獎系統刷獎、刷票、刷券的人群,俗稱羊毛黨,常以低成本甚至零成本換取利潤。對于羊毛黨,大家是又愛又恨。愛他的人認為羊毛黨們雖然擼了點小便宜,但是幫活動拉升了人氣,至少在活動數據...
摘要:不過今天寫的沒有上面說的那么高大,只是一個小小的防刷解決思路。這是工作中經常遇到的在此僅做一個記錄,以便回顧。同一個限制一分鐘最多獲取次超過次則鎖定小時,鎖定期間獲取短信需加圖片驗證碼收到這個需求利用做了簡單的限流防刷功能。 一、寫在前面 在互聯網的發展史上,安全總是一個繞不開話題, 你有安全盾、我有破盾矛。所謂道高一尺、魔高一丈,不過互聯網安全也正是在這種攻防中慢慢的發展起來的。 ...
摘要:在次失敗后,第四次請求,就返回錯誤文案驗證碼連續錯誤三次,請重新獲取短信驗證碼還有一個需要思考的維度。一般來說,短信驗證碼會有分鐘的有效期。 前言: 現如今登錄用手機驗證碼登錄是越來越常見了。雖然會增加成本,不過對用戶體驗的提升還是很有幫助的。那么,當產品經理對開發說,來按照這個原型給我搞個短信驗證碼登錄的時候。我們作為研發,應該想些什么?showImg(https://upload-...
摘要:,大家好,很榮幸有這個機會可以通過寫博文的方式,把這些年在后端開發過程中總結沉淀下來的經驗和設計思路分享出來模塊化設計根據業務場景,將業務抽離成獨立模塊,對外通過接口提供服務,減少系統復雜度和耦合度,實現可復用,易維護,易拓展項目中實踐例子 Hi,大家好,很榮幸有這個機會可以通過寫博文的方式,把這些年在后端開發過程中總結沉淀下來的經驗和設計思路分享出來 模塊化設計 根據業務場景,將業務...
閱讀 2524·2021-11-18 10:02
閱讀 1997·2021-11-09 09:45
閱讀 2449·2021-09-26 09:47
閱讀 1038·2021-07-23 10:26
閱讀 1079·2019-08-30 15:47
閱讀 3368·2019-08-30 15:44
閱讀 987·2019-08-30 15:43
閱讀 893·2019-08-29 13:50
