我知道混淆不是安全。但是,如果我想使用多个ajax请求来更改页面结构,以便根据不断变化的元素和ID的用户输入随机化它,这是否足以混淆擦除页面使用的脚本,让我们说登录进入管理区域?类似于要求图像识别的Google验证码,但Google验证码无效,至少在我遇到的最后一次攻击中是这样。遭到过度的暴力攻击并没有受到严重打击,也没有能够有效阻止它的安全插件。因此,到目前为止,我唯一尝试并且似乎工作的事情是强制每次登录尝试持续1分钟。然而,即使这还不够,攻击仍然无情地继续下去。
我正在尝试将乱七八糟的数据发送回所有逻辑的PHP脚本。我需要js,因为我必须在点击时查看用户操作并解决给他们的谜题,希望只有人才能解决。
问题是关于将数据安全模糊传输到php脚本的问题,我通过非传统方式进行了混淆。我知道所有的ajax请求都会显示发送的数据(任何使用devtools的人都可以看到它。)那没关系。我想让它变得如此混乱,没有人会浪费时间试图解读它的含义。它不是base64编码的字符串,它不是任何已知的算法。此外,如果每次登录站点后端都需要用户5分钟时间进行人工操作或由于强烈处理,这是可以的。生成的代码也不会返回任何逻辑上可用于反向工程其功能的内容。 (页面结构和布局看起来都不漂亮。没有样式,随机的html元素添加到页面,没有任何结构..)
目标是使用这样的代码:
// dat包含用户执行的操作字符串 - 所有鼠标单击,按键等.dat将包含一系列无意义的数据,以及只有接收脚本在处理时才会丢弃。
var dat ='FvV8Zc%v8`j
$。AJAX({ 方法:'post', 数据:dat, url:'/ phplogicscript.php' });
/ * Phplogicscript然后发回重组的页面数据并在会话var中重新加载页面保存进度。拼图解决后,登录按钮与重命名的登录脚本一起出现,以便它们正常工作(防止绕过已知的wp脚本)脚本名称不断变化以避免检测。 * /