限制信用卡处理脚本/机器人的影响
https://stackoverflow.com/questions/163837
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我参与为非营利组织建立捐赠表格。我们最近遭遇了一轮快速的低美元提交。许多人都是无效卡,但有一些是经过的。显然有人写了一个脚本来检查一堆卡号是否有效,可能是因为他们可以在以后卖掉它们。
关于如何预防或限制未来影响的任何想法?
我们可以控制系统的所有方面(代码,网络服务器等)。是的,表单在https上运行。
解决方案
当检测到来自单个IP地址或小范围地址的大量无效事务时,阻止该地址/网络。
如果正在使用僵尸网络,这将无济于事。您仍然可以检测到低额美元提交的洪水,并因此在您受到攻击时推断;在这些时候,拖延低额美元的提交,使他们需要更长的时间;介绍CAPTCHA的低额捐款;如果他们可以利用您的服务器日志来抓住肇事者,请咨询您银行的防欺诈部门。
强迫捐助者创建帐户以进行捐赠;使用CAPTCHA保护帐户创建,并限制任何一个帐户的捐款。
将最低允许捐赠提高到骗子以这种方式使用您不再具有经济意义的程度。
其他提示
而不是会使用户烦恼的CAPTCHAs,你可能想要利用这样一个事实,即大多数人都启用了javascript,而机器人却没有。只需创建一小段javascript,在运行时在隐藏字段中插入特定值。
对于那些禁用Javascript的用户,可以显示CAPTCHA(使用<noscript>标签),然后只有在这些措施中的任何一个检出时才能接受提交。
对于恶人的最大烦恼,你可以在成功消息和失败消息之间做出差异,计算上很难区分(比如一切都是相同的,除了显示消息的一张图片),但对人类来说很容易理解。
将来自同一IP地址的提交限制为每分钟一次,或者真人填写表单所需的合理时间
将最低捐款提高到让骗子以这种方式使用你不再具有经济意义的程度一般会有所帮助。
此。无论如何,你有多少合法捐款可以获得5美元以下的收益?
