发送短信验证码没有判断图形验证码是否正确,被攻击,临时用nginx限制ip访问

最新推荐文章于 2024-11-15 09:19:26 发布
最新推荐文章于 2024-11-15 09:19:26 发布
阅读量1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 其他 文章标签: ip控制 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/long13631/article/details/79741318
本文介绍了一个注册页面因未验证图形验证码导致遭受攻击的情况,并详细解释了如何通过Nginx配置来阻止恶意IP访问,包括如何获取用户的真实IP及设置IP黑名单。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在项目中,注册页面上发送短信验证码没有判断图形验证码是否正确,就发送验证码了,结果被攻击了,nginx的access.log看到访问的ip,并将访问过多的ip选择出来,临时用nginx限制ip访问。后面修改代码,重新发版。

但是,对于套了一层 CDN 或代理的网站,通过 iptables 、 Nginx 的 deny 指令或者是程序来 控制掉这些恶意请求,这些方法可能就失效了。

 

1拿到用户真实 IP,只要在 Nginx 的 http 模块内加入如下配置:

1

2

3

4

5

#获取用户真实IP,并赋值给变量$clientRealIP

map $http_x_forwarded_for  $clientRealIp {

        ""      $remote_addr;

        ~^(?P<firstAddr>[0-9\.]+),?.*$  $firstAddr;

}

 

2通过对 $clientRealIP 这个变量的判断,Nginx 就能实现隔山打牛的目的,而且规则简单易懂:

Shell

1

2

3

4

5

6

7

8

#如果真实IP为 121.42.0.18、121.42.0.19,那么返回403

if ($clientRealIp ~* "121.42.0.18|121.42.0.19") {

        #如果你的nginx安装了echo模块,还能如下输出语言,狠狠的发泄你的不满(但不兼容返回403,试试200吧)!

        #add_header Content-Type text/plain;

        #echo "son of a bitch,you mother fucker,go fuck yourself!";

        return 403;

        break;

}

把这个保存为 deny_ip.conf ,上传到 Nginx 的 conf 文件夹,然后在要生效的网站 server 模块中引入这个配置文件,并 Reload 重载 Nginx 即可生效:

1

2

#禁止某些用户访问

include deny_ip.conf;

如果再想添加其他要禁止的 IP,只需要编辑这个文件,插入要禁止的 IP,使用分隔符 | 隔开即可,记得每次修改都需要 reload 重载 Nginx 才能生效。

 

 

 

参考资料:网站使用CDN之后禁止用户真实IP访问的方法

深圳逆时针

【漏洞挖掘】——146、 短信验证码暴力破解
Fly_鹏程万里
08-05 1492
验证码机制主要被用于防止暴力破解、防止DDoS攻击、识别用户身份等,常见的验证码主要有图片验证码、邮件验证码短信验证码、滑动验证码和语音验证码,比如短信验证码大部分情况下是由4~6位数字组成,如果没有验证码的失效时间和尝试失败的次数做限制攻击者就可以通过尝试这个区间内的所有数字来进行暴力破解攻击
iOS支付知识及调试技巧:【支付流程 & 预授权& 银行卡验证&反洗钱&敏感信息的脱敏规范】2、安全设计Checklist(短信验证码图形验证码、密码管理、身份验证、会话安全、敏感信息、接口安全)
专注于计算机研发知识和资讯分享
12-30 1万+
前言 支付流程(支付方式组合支付、单支付方式:聚合支付、微信、支付宝、银联、记账等) 支付状态 支付 非记账 聚合支付(微信、支付宝、银联):从用户的角度可以分为主动扫商家的收款码和 提供付款码给商家扫一扫 涉及的技术点: 支付状态的查询采用 递归方式的轮询以及消息推送 流程 下单:商户完成订单信息的录入,包括但不限于待付款总金额。手机号码录入,生成订单。平台接受订单后,将订单...
短信防止验证码攻击方法
03-19
避免对外短信业务接口被刷的几种方案,前端通过设置图形验证码,后端通过加密通讯
短信验证码攻击问题
zhjhl的博客
02-09 6636
昨天突然收到短信服务提供商报警,说我们的短信接口遭受攻击,收到大量短信验证码通知。登录后台管理服务,发现确实收到攻击,正常一天的发送量不会超过100条,但昨天已经突破三千,并且还在上涨;登录服务器日志查看,也确实发现超出正常范围的访问请求。         当时写接口的时候,用post请求,也就是想尽量不向攻击者暴露接口参数,但还是想得太简单了,攻击者均为职业选手,或称为黑客(虽然其实很低级),
网络安全之短信验证码接口攻击短信接口会被黑客调用,以攻击手机号为目的刷网站短信,如果短信验证码端口不做任何限制,不仅对用户造成骚扰,更会浪费你的短信余额,降低品牌形象,常见的防护手段,增加前端验证码
weixin_54048131的博客
05-28 555
短信接口会被黑客调用 以攻击手机号为目的刷网站短信 恶意刷取目标网站的短信费用 解决方法给移动打电话报套餐,或者跟中国电信和移动联通 解决方法 增加前端验证码 滑块点击等方式,对单个ip做出限制 防止攻击者同Ip下不同,超过最大阀值,将不予以返回短信 腾讯验证码等等
短信验证码轰炸解决方案二(防止海外ip限制ip限制手机号次数解决)
php-yyds
12-05 2917
2. 访问次数限制使用了基于Session的计数器,这意味着计数器是与用户的Session绑定的。3. 检查海外IP:通过调用腾讯地图API,可以判断访问者的IP是否属于中国境内,从而禁止海外IP访问。2. 访问次数限制:对于同一个IP地址或手机号,可以限制访问次数,避免频繁访问或滥用。1. 黑名单功能仅针对预先设置的IP地址和手机号,无法应对新出现的恶意IP或手机号。4. 对于同一个手机号,限制访问次数,如果超过限制则终止访问。3. 对于同一个IP限制访问次数,如果超过限制则终止访问
nginx反向代理导致session失效的问题解决
01-09
一同事求援:后台系统的登录成功了,但不能成功登进系统,仍然跳转到登录页,但同一套代码另一个环境却没有问题。 背景 经了解,他对同一个项目使用tomcat部署了两个环境,一个在开发服务器上,一个在他本机,两个...
Java使用 BufferedImage生成验证码图片简单使用Java生成验证码 使用Java生成验证码图片 java生成验证码图片
半只
07-11 421
【代码】Java使用 BufferedImage生成验证码图片简单使用Java生成验证码 使用Java生成验证码图片 java生成验证码图片。
我们公司的短信接口被刷了,瞬间损失两万,怎么解决?(短信接口被盗刷系列1)
热门推荐
02-03 9万+
前两天的中午像往常一样热,太阳不知疲倦的在天空燃烧,热跑了云彩和鸟儿,马上就要点燃空气和我的脑神经。为我和电脑降温的,是我简陋的书桌上的小电扇,没有它的话,键盘太热,我可能就要写不下去代码了。 正在此时,旁边的手机嗡嗡的震了两声,对于手机从来不敢开铃声的人来说,这个震动的声音实在太熟悉了,不用说,应该是广告短信,或者有人加我微信好友了。因为短信我基本上从来不看,微信消息不会有提示,只有加好友才有,由于最近有不少朋友看到我写的文章,所以每天加我好友的还是不少的,我都是找空闲时间统一处理。所以,我还是继续写我
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-10 5954
概述 Nginx采用C进行编写,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP和反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态和做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
产品安全:如何解决短信验证码攻击难题
亿美软通的博客
11-02 1674
短信验证码的作用对于APP、网站而言不言而喻,是核验用户身份、保障用户账户安全的一道防线。然而,在企业网站和应用运营过程中,产品设计的小漏洞很容易造成短信验证码攻击,进而给用户和企业带来麻烦。例如,用户注册页、短信验证码快速登录页、在线投票页等,诸如此类接口未调用对方身份验证的场景,都是常被攻击的。 短信验证码攻击分为两种情况,一是不法分子利用发送接口漏洞,通过不断变换IP地址的方式伪装成大批量手机号码获取验证,从而对企业短信费用造成高额损失;二是不法分子只攻击某个特定号码,反复向同一个手机号码发送
对付短信发送攻击
在河里抓鱼的熊
05-30 3158
简介自从某公司使用短信验证码验证用户真实性以来,短信便逐渐成了公司业务的标配。现在几乎每家公司的服务都包含了短信发送这一功能。而用户请求短信时,一般还未注册,所以这个接口是匿名接口(不需要登录)。于是,坏蛋们就开始捣蛋了。他们通过对软件抓包,得到用户的请求消息,然后模拟用户对服务器疯狂的发送这一请求,消耗公司的短信资源,骚扰无辜手机用户,甚至造成短信通道堵塞,无法发出正常消息。搞不好还被那些被骚扰者
[登录那些事] 邮件发送,限流,漏桶与令牌桶
weixin_34411563的博客
05-05 286
前段时间,我使用了 jwt 来实现邮箱验证码的校验与用户认证与登录,还特别写了一篇文章作为总结。 在那篇文章中,提到了一个点,如何限速。 在短信验证码和邮箱验证码,如果不限速,被恶意攻击造成大量的 QPS,不仅拖垮了服务,也会心疼如水的资费。鉴于君子固穷的原则,在我的邮箱服务里加上限速。 关于如何限速,有两个比较出名的算法,漏桶算法与令牌桶算法,这里对其简单介绍一下,最后再实践在我发邮件的API中...
nginx deny ip段_使用NginxNginx Plus防止服务器DDoS攻击
weixin_39969060的博客
11-28 747
分布式拒绝服务攻击(DDoS)指的是通过台机器向一个服务或者网站发送大量看似合法的数据包使其网络阻塞、资源耗尽从而不能为正常用户提供正常服务的攻击手段。随着互联网带宽的增加和相关工具的不断发布,这种攻击的实施难度越来越低,有大量IDC托管机房、商业站点、游戏服务商一直饱受DDoS攻击的困扰,那么如何缓解甚至解决DDoS呢?最近https://www.nginx.com/blog/author/r...
nginx 禁止某 IP 访问
qq_21193587的博客
06-03 2万+
nginx 禁止某 IP 访问 文章目录nginx 禁止某 IP 访问黑名单方式白名单方式 单独网站屏闭 IP 的方法: 在 server"{}",在这个大括号内加入 deny IP 地址限制IP 地址访问;allow IP 地址是只允许某 IP 地址访问; 首先建立下面的配置文件放在 nginx 的 配置目录下面,命名为 blocksip.conf: deny 95.105.25.181; 保存一下。 在 nginx 的配置文件 nginx.conf 中加入:include blocksip.con
Nginx禁用IPIP
baidu_35160588的博客
08-16 1768
Nginx禁用IP
Nginx禁止某IP(段)访问的方法
weixin_45815859的博客
08-30 2925
当你的Nginx服务器想禁止某个IPIP访问时,可以通过配置文件来达到目的 Nginx禁止某IP(段)访问 修改Nginx配置文件nginx.conf Nginx配置访问IP可以修改nginx.conf文件,只需要在server中添加allow和deny的IP即可,如下: server { listen 80; server_name localhost; allow all; deny 123.123.123.123; error_page .
nginx禁用ip方法
php-yyds
07-07 1万+
这样,当IP地址为192.168.1.100的客户端的连接数超过1或请求频率超过10个请求/秒时,Nginx限制访问。通过以上几种方法,可以在Nginx中有效地禁用特定IP访问。指令的组合来限制IP访问。指令来禁止特定IP访问。这样,除了IP地址为192.168.1.100的请求之外,其他IP地址都将被允许访问。指令来限制特定IP的连接数和请求频率。这些指令可以在Nginx的配置文件中的。指令来禁止特定IP访问外,还可以使用HTTP模块的。指令:在Nginx的配置文件中,可以使用。
Nginx判断IP不可访问
Flying_Fish_roe的博客
11-15 712
Nginx 通过模块提供了 IP 访问控制的功能。通过该模块,可以基于客户端的 IP 地址来允许或拒绝对网站资源的访问。这个功能非常适用于防止恶意请求、限制访问权限或维护服务器的安全性。allow:允许指定的 IP 地址IP 地址访问服务器。deny:拒绝指定的 IP 地址IP 地址访问服务器。这些指令可以配置在 http、server、location、limit_except 等上下文中,从而对整个服务器、特定虚拟主机或特定资源进行访问控制
系统接口500异常弹不出验证码
最新发布
05-27
另外,引用[4]提到session依赖cookie的问题,如果验证码存储方式使用session,而接口调用没有经过浏览器,可能导致问题。可能需要将验证码存储方式改为Redis或数据库,避免依赖session。同时,检查防火墙设置,确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值