网站注册用户时的邮箱实时检测漏洞
这个功能现在一般网站上都有了。但是现在出现了一个情况,网上暴露的邮箱账号密码太多,有人会拿这些账号来通过这一接口进行试探用户是否存在,然后再爆破密码。
我通过限制ip对这个借口的访问来限制,但是网站部分流量是通过CDN,部分没有经过,没有经过cdn的,我可以把它的remote_addr认为是他的ip,但是进过cdn的流量就不那么好处理了,remote_addr将是cdn节点ip,通过他们设置的转发头来获取用户ip.但是这些试探邮箱的人却也伪造转发表头来欺骗服务器,最后限制只能通过remote_addr来阻挡,这样就可能会影响一个节点后面的所有用户。
ip限制是在memcache中记录一个ip一段时间之类访问的次数,访问过多就阻挡,但现在这种试探都采用分布式的了。多个ip来模拟请求出发这样的验证操作。这部分的流量就没办法阻挡
所以我想问下,如果有这样功能的童鞋是如何解决这个问题的
hzvae
10 years, 10 months ago