Задать вопрос
  • Какие существуют способы защиты от атак на сервис, использующий смс подтверждение?

    @hoarywolf
    Усложнить отправку формы простым curl-om.
    Используйте сессии, загружайте в hidden переменные значения ajax-ом, проверяйте, что пользователь загрузил не только html-файл формы, но и какое-то изображение, что он выполняет скрипты и тд. Понятно что от эмуляции браузера это не спасет, но жизнь злоумышленникам усложнит.

    Кстати, можно еще отслеживать перемещения мыши, хотя бы в пределах формы, mouseover и mouseout на ее элементах, прокручивание страница, ввод текста в элементы формы (а не программное изменение value как в phantomjs) и на основании всего этого рассчитывать вероятность бота. При невысокой активности этим всем можно пренебречь, но в моменты атаки учитывать для выявления ботов.
    Ответ написан
    2 комментария
  • Какие существуют способы защиты от атак на сервис, использующий смс подтверждение?

    fox_12
    @fox_12
    Расставляю биты, управляю заряженными частицами
    В порядке приоритета:
    Лимитировать количество запросов на один номер телефона по времени.
    Лимитировать количество запросов с одного айпи на разные номера по времени.
    Ограничить целевую аудиторию (по геоайпи отсеять пользователей из Китая, Индии, и пр. - если конечно они не являются вашей целевой аудиторией)
    Ограничить общее количество запросов СМС в единицу времени (сутки, час).
    Ответ написан
    2 комментария