搭建网站,我们必然要面对安全问题,如果网站安全无法得到保障,那危害肯定是不小。
其中,登录入口和评论区可以说是重灾区,一个是获得权限的地方,另一个是“塞垃圾”给你的地方。如果网站开放了注册,那这地方也是“塞垃圾”的地方。
WordPress自身也没有很多的防护措施(甚至连CSRF都没有),很多地方就几个代码就解决问题了:
import requests
while True:
requests.post("https://example.com/wp-comments-post.php", data={
"comment_post_ID": 114514,
"comment_parent": 0,
"comment": "鸡你太美",
"author": "来干我呀!",
"email": "cxk@example.com",
"url": ""
})
解决方案重要一点是设置人机验证码,也就是类似于这种:
不过这种安全性已经有点低了,因为现在的OCR已经很NB了,对于这种字母容易识别出来。如果变形的字母的话再加上AI识别,基本上形如虚设了。
而且有时候生成图片难以识别,用户硬是看了半天什么看不出来。最蛋疼的是刷新了还是看不出来,或者是本身是“9”结果用户看出是“q”之类的情况,导致屡次输错😂
于是就进化到现在大多数网站采用的:
别看这只是普通的拼图,实际上经过以下过程:
- 验证前,验证码组件的JS(已加密混淆)先收集浏览器各种数据(浏览器信息、JS Runtime信息、系统信息等),然后加密上传到验证服务器。
- 服务器AI判断用户是否安全(比如是否为自修改Chromium,是否为Selenium等),不安全可能直接不给验证;依据这些来决定给用户什么类型的验证码(拼图验证、文字点选、图标点选等,难度逐渐上升)还是直接通过。
- 用户开始验证,与此同时组件的JS会记录鼠标移动轨迹、点击点等动作数据,完成后加密上传到验证服务器。
- 服务器AI判断是机器完成还是人类完成,如果是人类完成返回token,表示验证成功。
- 将token填写到表单后发送到自己的服务器,服务器向验证服务器确认token是否有效,如果邮箱执行相关操作,如果无效拒绝操作
大家可以试着直接拿Postman撬我这边评论区,你们会收到错误的。
现在可用的平台有Geetest™、腾讯™、顶象™、网易™易盾等,各个平台的免费版本我都比较一下,最终还是选择了顶象™,因此我也写了个插件,现在公测状态,欢迎大家下载使用!