所有栏目 | 云社区 美国云服务器[国内云主机商]
你的位置:首页 > 云社区 » 正文

一个网站,如何防止用户恶意注册?

发布时间:2020-04-15 16:20:11

资讯分类:恶意  注册  用户  网站  注册  脚本  表单
一个网站,如何防止用户恶意注册?

防止恶意注册基本的方法有:

1、邮箱需要验证

2、单IP注册频率限制

3、表单加验证码

4、需要姓名加身份证认证

5、手机绑定验证

但是所谓是药三分毒,这样下来,你的产品注册流程也就会让人抓狂,用户和产品经理想必都是无法接受的。

下面说一些技术上的方案:

在注册页面添加随机码,并将这个码随注册post表单一起提交(基本上让它必须先抓页面再提表单)

在注册页面中埋资源,比如添加一个img 标签,src地址其实是一个动态脚本,会进行访问日志记录。在提交注册post表单时,如果当前ip没有请求过这个动态脚本,那么就是机器人。这个img标签可以定时换,比如明天换成另一个地址或者放在一个script标签里面,甚至是让一段js去触发请求。

IP钓鱼,很多IP资源都不太丰富,所以基本上是一大堆IP做代理。

于是出现了这个方法。在进行完上一条说的的埋资源方法后,聪明的注册者通常会快速进化出变种,在后续的请求会聪明地先请求这个脚本再post表单。一旦注册者发现这个策略,你就可以反其道而行。将这个动态脚本从页面中去掉,这时候正常用户就访问不到了,但是注册者可能还不知道。他们会继续访问这个已经没有入口的脚本,于是你可以改造这个脚本的功能,变成一个垃圾IP收集器,收集到的IP直接封若干时间。这个方法还是挺有效的。

其实方法有还很多,包括用户名判断,邮箱白名单等等。但是真正要挡住攻击还是很难,道高一尺魔高一丈。

所以这里并不是要讲具体的方法,而是想说,注册者也是人,而且是有直接商业目的的。你的网站不会是唯一可攻击的山头,如果你提高门槛,跟他斗个十天半月,当他发现你这个地方投入产出比过高,老是需要投入人力搞对抗,基本上也就不会在这浪费时间了。这不是纯的技术斗争,更多的是带着成本考虑的工程较量。所以目的是如何搞疲它,赶走它,而不是栏住它。

一个网站,如何防止用户恶意注册?

很高兴来为你解答该问题

对于这种恶意注册账号,你可以在腾讯开放平台,授权QQ互联开放平台为第三方网站提供了的API,调用平台提供的API实现用户使用QQ账号登录网站功能,也可以获取到腾讯QQ用户的相关信息,这样就保证了用户不存在恶意注册。如果不接入QQ互联提供的API,也有其他方式。

当一个用户注册网站用户名时,有多种注册方式

① 输入相应的用户名和密码,即可正常注册成功,那么这种注册容易,导致一人可以随便注册很多种账号和密码。

② 输入相应的用户名和密码,加上电子邮箱来注册,这种也会很容易注册成功,QQ邮箱可以申请多个,导致这种注册者也会很大,毕竟QQ邮箱不存在实名认证。

③ 手机号注册,手机号加验证码注册就会相对前几种就会安全很多,不会有人恶意去注册,手机号存在实名认证,一个账号绑定一个手机号,注册者就不会存在一人多账号的情况。

④ 在网站后台数据库中,可以删除注册后未正常登陆的用户账户。


最后 防止恶意注册账号,最好的办法就是注册网站用户名时,需要注册者提供用户名、密码、手机号验证码、邮箱验证激活,后台修改一手机号只能绑定一个用户名,或者把自己网站接入QQ互联提供的API,让用户可以通过QQ号来登陆,这样也不会存在网站被恶意注册。

一个网站,如何防止用户恶意注册?

正好到了我的专业。恶意注册,一般不会是一个个注册,一个个注册我们也不怕,就怕都是用机器脚本批量注册。说到什么邮箱验证码,短信验证码都是扯,现在都有非常成熟的接码平台了,直接API收到短信或邮箱。如果真想防,这块的工作还是挺多的。第一,要有一个放刷的策略去识别脚本,腾讯网易阿里极验都有一部分免费的生物行为防刷验证码,如果有钱,可以买付费;第二就是对手绕过生物行为检测,或者手动打码,那就需要风控体系了,号码、IP、设备指纹等黑名单库;第三道防线就是实名认证了;最后一道防线是人工审核。如果黑客突破最后一道,对不起,没救了。

一个网站,如何防止用户恶意注册?

当一个用户注册网站用户名时,有多种注册方式

① 输入相应的用户名和密码,即可正常注册成功,那么这种注册容易,导致一人可以随便注册很多种账号和密码。

② 输入相应的用户名和密码,加上电子邮箱来注册,这种也会很容易注册成功,QQ邮箱可以申请多个,导致这种注册者也会很大,毕竟QQ邮箱不存在实名认证。

③ 手机号注册,手机号加验证码注册就会相对前几种就会安全很多,不会有人恶意去注册,手机号存在实名认证,一个账号绑定一个手机号,注册者就不会存在一人多账号的情况。

一个网站,如何防止用户恶意注册?

目前我所见过的技术中有两种种方法。

第一种,就是特别变态的验证码,12306过年那个级别的,这种便宜,但是我听说已经有人可以破解了哈哈。

第二种,是我从一个赌博软件看到的。

这个软件注册需要输入手机号和真实姓名

服务端收到用户手机号和姓名后会进行匹配(检测该名字是否和手机号运营商绑定的机主姓名是否一致)这样基本就杜绝了。

当然至于第二种的接口如何获得,我到现在也不知道哈哈,需要楼主自己摸索。

一个网站,如何防止用户恶意注册?

恶意注册,原因是没有验证,目前防恶意注册验证有以下几种。

一个网站,如何防止用户恶意注册?

我们公司在做专业性,行业性很强的网站时,我们都有自己开发的一套模式。我跟大家介绍一下:

1.人工审核

我们这边对网站注册的用户提交的信息开启了人工审核,但对于用户访问量较大的网站不适合,无疑增大了管理员的工作量,同时也会对用户体验造成了很大的影响。这样会减少用户量,因为这样的操作无疑是最笨的方法,因为有时候用户量太大,等待是最苦闷的,导致会员流失才是最严重的。

2.手机、邮箱验证

其实手机短信验证是最有效,也是最简单的验证了,不过目前在这大数据的影响下,用户很怕自己信息泄露,确实,手机号一旦泄露,导致各种垃圾信息接收,也很烦的。不过我们会用很简单的提示语提示安全性,打消客户这种疑惑,外加邮箱验证码就更保证一个注册的安全。

3.邀请注册

就是在已有的用户基础上,必须通过注册的用户去邀请注册,但是这种模式很有局限性,要是没有足够的流量和一定的基础,不建议这么做,避免导致没有用户注册。

4.购买邀请码注册

这种也是在网站有一定流量或有功能性的网站上使用,比较好,因为毕竟正对的就是部分客户,当然你的网站内容肯定要吸引他们来注册,否则也会导致网站没人访问。

5.限制ip地址,注册

限制ip注册的这一模式一般是一种附属模式,叠加在其他验证模式上。因为限制ip注册如果是有心人士要恶意注册的话可以使用ip代理绕过这一重限制,所以ip限制这只是一种辅助的方式。

以上就是我们公司在做用户注册登录这一块的一些方法,暂时还没有发现什么人容易注册,也没有看到客户反映这一状况。大家可以去尝试这修改。

希望可以帮助到大家!

一个网站,如何防止用户恶意注册?

恶意注册,原因是没有验证,目前防恶意注册验证有以下几种。

做好验证,

注册页面最好有复杂的验证码,要不断变化,让识别工具也很难识别的验证码,就能防止一些工具恶意注册。

验证可以一手机一验证,设置手机短信验证,一个手机只有一个验证,只有一个手机号可以激活一个账号,这样想恶意注册就比较难了,

一般手机验证成本比较高,也可以用邮箱激活验证。激活的账号才能使用登录,一个邮箱对应一个账号。

留言与评论(共有 0 条评论)
   
验证码:
Top