最近我发现了一个可以通过动态更改html DOM元素来防止机器人攻击的硬件设备。详细内容提到here
在将页面发送到客户端之前,html input
元素id
和name
以及form
元素action
将替换为一些随机字符串。客户端提交后,硬件设备将其值替换为原始值。因此,服务器代码将保持不变,机器人无法使用固定输入名称id。
这是一个完整的想法,但他们也声称这个产品可以解决浏览器攻击中的男人。
http://techxplore.com/news/2014-01-world-botwall.html:
Shape Security声称添加到网站的代码不会导致 任何明显的用户界面延迟(或它出现的方式)和 它也适用于其他类型的攻击,例如帐户 接管,以及浏览器中的人。他们注意到他们的方法有效 因为它实时偏转了攻击,而僵尸网络的代码则是 仅在安装时更改(更改其签名)。
理论上有可能有人可以阻止浏览器中的人攻击服务器吗?!
答案 0 :(得分:1)
理论上有可能有人可以阻止浏览器中的人攻击服务器吗?!
不。显然,受感染的客户端可以做任何真实用户可以做的事情。
让您的页面更能抵抗自动化,这可能是更新和对策的军备竞赛。像这样的混淆充其量只会使你的网站自动化,使其对攻击者来说不值得 - 也就是说,你试图让自己不再是“低悬的果实”。
他们注意到他们的方法有效,因为它实时偏转了攻击,而僵尸网络的代码只有在安装时才会改变(改变其签名)。
这似乎毫无意义。机器人自然可以更新自己的代码。事实上,银行业木马通常会更新自己以解决帐户登录页面的变化问题。除非服务包含推送到过滤器框的实时更新以解决这些更新,否则您仍然无法获胜。
(这样的自动化军备竞赛作为一项服务将是一个有趣的主张。但是我会担心新的混淆功能会破坏您的应用程序。例如,想象一下链接网站上的noddy form-field-renaming示例会发生什么如果您有自己的客户端脚本依赖于这些名称。或者如果您的整个站点是客户端单页应用程序,这将没有任何效果。)