[英]How to detect and prevent (valid) malicious web requests? e.g. corporate espionage
在不聽起來像我正在創建電影情節的情況下,這是一個場景:
網站使用復雜的分類報價系統為客戶創建報價。
懷有惡意的人決定創建一個自動程序,並通過使用各種參數,對引號進行垃圾郵件並實質上復制您的報價模型。
問題:您如何對此進行檢測和預防。 Web請求本質上是合法的。
我的一些想法是通過IP地址監視請求頻率。
您是從服務器級別(例如IIS日志和設置)還是從應用程序/代碼級別解決此問題? 是否有第三方應用程序或插件來監視這種事情?
我擔心這可能會引起討論,而不是直接回答,但我正在尋找一些起點和方向。
從CAPTCHA開始,以消除人類的機器人。 Google對該技術進行了投資,並擁有一些復雜的方法。
您可以嘗試限制IP地址,但這會失敗,因為IP與Person之間沒有關聯。 大多數手機和企業用戶都是通過單個公共IP進行NAT轉換的。
收到信號后,可以將它們組合起來以決定風險分數。
如果您只有兩種選擇-阻止或允許-那么您要么生氣,要么不夠嚴謹以防止濫用。 建立中間立場。
例如,停止返回完整的報價,而是向用戶詢問其電子郵件地址,然后通過電子郵件將完整的報價結果發送給電子郵件。
一旦達到風險閾值,請有人審核請求,如果看起來合法,請發送釋放電子郵件。
這就是貝寶能夠大規模創建欺詐檢測系統的方式。
某些想法實際上沒有特定的順序:
如何通過例如將嵌套對象轉換為JSON中的JSON字符串來防止嵌套JSON?
[英]How can I prevent nested JSON, by e.g. transforming the nested objects to a JSON string in the JSON?
如何將列號(例如 127)轉換為 Excel 列(例如 AA)
[英]How to convert a column number (e.g. 127) into an Excel column (e.g. AA)
如何在沒有數據庫連接的情況下使用 SQL 服務器類(例如 SqlCommand)來防止 SQL 注入?
[英]How can I use SQL Server classes (e.g. SqlCommand) to prevent SQL injection WITHOUT database connection?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
