请教防止恶意注册的方法，急！！！

2015-07-07 11:04:58 +08:00

yzn

发现网站有恶意的注册，可以基本肯定不是人手动恶意注册。

采取过的手段：
1、修改注册页面的文件名。（可保短暂的安宁）
2、更换了N个图片验证码、计算形式的验证码、也都用了，也只能短暂平静。
3、利用cookies、session记录IP，限制一个IP一天只能注册一次，我自己测试完全可以限制住，第一次注册可以正常完成，第二次就注册不了，但不知道为什么这限制对于这次的恶意注册一个点用都没

我也想过会不会是直接SQL的注入，但从我的处理方法中可以得出结论，必须要通过那个页面才能注册的，而且我这边在代码中直接限制谁都不能注册，结果也可以限制住。

希望高手们帮忙分析下这问题是怎么回事，要怎么样解决下，折腾了两天了，还是没弄好，着急上火了，大家帮帮忙，跪谢了！

12675 次点击

所在节点

程序员

52 条回复

foccy

2015-07-07 11:21:56 +08:00

利用cookies、session记录IP对于恶意攻击应该没用吧？客户端不携带session id就可以失效。我觉得英爱记录在文件，或者数据库或者其他类似的地方，而不是session。

jnduan

2015-07-07 11:27:43 +08:00

人家是挂着代理注册的吧？

解决这个问题估计必然会导致注册流程体验的下降

1.更复杂的验证码，增加ocr的成本
2.注册验证机制，例如发送激活邮件
3.短信验证码
等等

wkdhf233

2015-07-07 11:30:05 +08:00

短信验证码
惹急了上邀请码，邀请码需要加你QQ要

tini22

2015-07-07 11:31:30 +08:00

中文验证码 + 扭曲变形 + 文字粘连

FastMem

2015-07-07 11:39:58 +08:00

目前是邮箱验证加邀请码

wy315700

2015-07-07 11:40:45 +08:00

手机验证码

sweat89

2015-07-07 11:45:21 +08:00

限制一个IP一天只能注册一次
你在逗我呢

shiznet

2015-07-07 11:49:42 +08:00

限IP会误伤，有些办公网公用一个出口IP。

增加下行短信验证，这样会增加短信的费用，但是可以防止机器批量注册。短信验证时最好配合验证码，否则下行短信接口可能会被人用来做短信炸弹。

对于批量注册，id通常都是有规律的，可以查看日志，对于短时间内集中注册的有规律的用户名可以监控起来。

yzn

2015-07-07 11:50:10 +08:00

嗯，但目前还没到那种地步，希望可以多积累一些用户。

yzn

2015-07-07 11:50:39 +08:00

@wkdhf233 嗯，但目前还没到那种地步，希望可以多积累一些用户。

wizardoz

2015-07-07 11:53:07 +08:00

不要从技术的角度限制，IP限制更是不靠谱。
用邮箱注册或者手机号注册最好，业务上说也是合情合理。

yzn

2015-07-07 11:53:27 +08:00

@shiznet 注册限制太多，影响网站壮大发展与用户体验。就是想现在有没有什么工具软件之类，像防水墙这种。不过防水墙太水了，也没有起到相应作用。

OpooPages

2015-07-07 12:28:24 +08:00

懒惰安全的做法，是不是可以直接使用第三方帐号接入？
比如github oauth接入

laiyingdong

2015-07-07 12:39:20 +08:00

限IP不好据说现在有 “ADSL VPS” 估计就是这么用的

我觉得可以选择性的使用邮箱手机或者是QQ 百度微博Oauth之类的方式去进行验证保证用户体验的同时还是可以防的住的

nozama

2015-07-07 12:53:56 +08:00

第三方登录更多是吸引用户注册的手段, 不能本末倒置吧
从业务流程上改进, 像Stackoverflow那样, 没有威望就只能旁观. 僵尸再多也是枉然.

realpg

2015-07-07 12:58:03 +08:00

这就需要各种黑科技了……
别按正常套路出牌。。。

denger

2015-07-07 13:08:56 +08:00

建议学学 qq. http://zc.qq.com/chs/index.html
研究一下人家的规则吧，就目前国内来说 qq 这方面做的是不错的~

janxin

2015-07-07 13:23:31 +08:00

IP限制很不友好，推荐你直接上中文验证码+短信验证码，最后才限制ip注册上限（一个肯定不合理）

实在不行就邀请码机制，限码

shiniv

2015-07-07 13:44:07 +08:00

@yzn 看到防水墙，应该就是discuz吧？如果是discuz的话，可以改改获取IP那部分，获取IP这部分是可以伪造的。

fraudmetrix

2015-07-07 15:28:43 +08:00

基本上像论坛这种情况，是普遍存在的。你可以尝试一下第三方平台的接入http://www.tongdun.cn/activity/A201506.html?1 以我多年社区管理的经验，这种方式目前比较奏效。
它可以针对登录，注册，发帖等事件，调用第三方的API接口，通过分析设备指纹，IP，发帖速度进行风险识别。只要是高风险，就无法注册，无法登录。比DZ自带的好用多了。

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/203895

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.