我会直接解决问题。 假设我的网站具有登录功能并且拥有大量用户。 我正在进行登录脚本攻击,其中黑客有“用户名”和“密码”列表(假设他从其他地方得到了这个)并且他在我的网站上运行它以查看它们是否是有效信息。 我有一个监控工具/应用程序来捕获相同的IP地址是否尝试在“y”时间内尝试“x”次登录,并且它成功检测到属于这些类别的攻击。然而,由于我无法提出所有可能的情况,因此存在局限性,我觉得不可能阻止它们进行这些类型的攻击。 我很好奇亚马逊或其他巨头等其他公司如何处理这类攻击。
提前致谢。
答案 0 :(得分:1)
他们应用各种技术来确定登录是否是我的人类 - 这被称为Turing test
例如,如果用户在固定时间段内尝试过多次登录尝试,许多网站会将用户锁定。这意味着如果它是一个机器人,以后的登录尝试将被忽略。对此的一种变化是随着登录尝试次数的增加而增加锁定时间。
在Ticketmaster等网站中使用CAPTCHA。
不幸的是,像这样的蛮力攻击是生活中的事实。