摘要:刷票行為���,一直以來都是個難題�,無法從根本上防止����。基于�,下面介紹防刷票的一些技巧校驗。攻擊手段限制加上投票限制���。預防對策限時投票投票程序�����,只在某個時間段內(nèi)開放�����。預防對策投票間隔用戶投票后�,需要隔多長時間才能繼續(xù)投���。
刷票行為�����,一直以來都是個難題����,無法從根本上防止�。
但是我們可以盡量減少刷票的傷害,比如:通過人為增加的邏輯限制��。
基于 PHP����,下面介紹防刷票的一些技巧:
1、HTTP_REFERER : 校驗 $_SERVER["HTTP_REFERER"]����。可偽造�����,使用 CURL�。
curl_setopt($ch, CURLOPT_REFERER, "HTTP://www.baidu.com");(攻擊手段)
2��、IP限制:加上 IP 投票限制��??蓚卧?,使用 CURL。
$ip = ***.***.***.***;
$header = array(
"CLIENT-IP:{$ip}",
"X-FORWARDED-FOR:{$ip}",
);
curl_setopt($ch, CURLOPT_HTTPHEADER, $header);(攻擊手段)
3�、User-Agent:校驗 $_SERVER["HTTP_USER_AGENT"]??蓚卧欤褂?CURL�。
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.0)");(攻擊手段)
4、驗證碼:采用非常復雜的驗證碼�,可以防止一些菜鳥攻擊者。
a:但是專業(yè)刷票機可以攻破�����。如果不用驗證碼����,投票基本就歇菜了。
b:驗證碼獲取方式����,采用異步加載�����,即點擊輸入框時��,才去請求���。
c:投票成功后,刪除驗證碼的 Session����。
5���、登錄:用戶必須登錄才能投票����。
a:可以攻破�����,寫程序不斷注冊新用戶����,然后用來投票�����。(攻擊手段)
b:指定大于某個 UID 的用戶�����,或者某段時間內(nèi)活躍的用戶����,才能進行投票��。(預防對策)
6��、限時投票:投票程序���,只在某個時間段內(nèi)開放�。否則����,對方半夜刷票,你咋辦��?
a:從 早 8 點 至 晚 23 點�����。(預防對策)
7、投票間隔:用戶投票后����,需要隔多長時間才能繼續(xù)投。
a:很多投票站點基本上都有這個限制����,但是對于更改 IP的攻擊,就沒辦法了��。
b:針對 UID 限制����,可以有效防止攻擊�����,但是可以使用批量注冊馬甲用戶����。
8、投票結(jié)果展示:延遲展示���,友好展示�����。
a:頁面上投票���,JS 立馬加1��,但是刷新頁面�����,不一定立馬展示最新投票結(jié)果����。
b:返回狀態(tài)給頁面(感謝您的投票�!或者 投票成功!至于有沒有成功��,另說了?。?
9、補票邏輯:常見于一些軟件評選之類的投票�。
a:有時候軟件廠商會為了讓自己的票數(shù)高一點,會私下給活動舉辦商 $,后臺進行補票�����。
b:后臺跑腳本�,采用 IP 庫,緩慢平滑的增加票數(shù)�����。
10�、扣量邏輯:常見于一些軟件評選之類的投票。
a:這是個殺手锏�,后臺跑腳本實時監(jiān)控異常增長(刷票)的項,然后實施扣量邏輯�����。
b:即對于這個項����,投 10 票才算一票����。
11、Cookie:常用的手段����。比較低級�����。
a:投票后����,在客戶端寫入 Cookie�,下次投票時判斷 Cookie 是否存在。
b:但是����,這種方式非常容易攻破,因為 Cookie 可刪除��。
12��、加密選項 ID:對一些投票選項的ID����,進行隨機加密。
a:加密算法�����,加Salt,并且設(shè)置有效時間�,比如5分鐘內(nèi)。
b:服務(wù)器端進行解密并且驗證�����。
13��、人工刷票:沒辦法防�����。���。
a:雇傭了一批水軍�,進行刷票����,這個真沒轍,人家確實是花了血本的�。
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/20828.html
