如何防止机器人向试图攻击易受攻击的端点的API发送垃圾邮件

文章/答案/技术大牛

发布

2回答

javascript、node.js、api、express、security

我的后端有一个Node和Express api，目前它在Heroku上运行，在我的日志中，我看到一些机器人试图恶意发送垃圾应用程序接口，试图攻击GET /.env和GET /.aws-secret等端点我的api只会返回404，因为这些端点不存在，但我想阻止这些机器人发出所有这些请求。我已经有了一个速率限制器，但看到机器人仍然

浏览 28提问于2021-10-13得票数 1

回答已采纳

3回答

如何防止条形码有效载荷攻击？

penetration-test、threat-mitigation、threats

最近，我遇到了一个工具，它可以向条形码中注入有效载荷。我怎样才能防止这种攻击呢？攻击者打印易受攻击的条形码/向我发送易受攻击的条形码。我扫描易受攻击的条形码和有效载荷攻击我的系统可能的预防方案永远不要扫描条形码--但在部门商店或任何公司存储区域(条形码扫描是很重要

浏览 0提问于2016-06-23得票数 2

回答已采纳

1回答

这个垃圾邮件机器人试图通过随机填写我的PHP表单来做什么？

spam

最近我收到了很多机器人垃圾邮件。最近的一次是这样的身体：有人能解释一下他们想做什么，只需在我的文本框里随便放几个单词吗？

浏览 0提问于2013-02-20得票数 0

2回答

这不是保安的坏做法吗？

java、security、servlets、servlet-3.0、response-headers

阅读Servlet3.0规范后，我看到了下面的内容，并想知道这是否真的是推荐的做法。我记得，出于安全原因，我遇到了不包括此信息的建议： X驱动:Servlet/3.0JSP/2.2 (G

浏览 7提问于2013-12-13得票数 3

3回答

我已经用谷歌搜索了很多，但我仍然没有答案，所以我决定在这里问这个问题:在PHP中，有没有一种方法可以检查我在一些脚本中收到的数据是来自页面上的特定表单？我问，因为每个人都可以看到我用来保存数据到我的数据库的脚本的名称，所以如果有人能够找到整个URL，他也能够发送一些假数据到脚本，我需要一个条件，即只有当数据来自我的页面上的适当形式时，才会触发保存过程。我使用jQuery来调用AJAX函数，所以基本上如果我单击"send“按钮，$.POST()

浏览 0提问于2012-05-06得票数 2

回答已采纳

2回答

如何对IIS中托管的此服务执行路径遍历攻击？

.net、security、iis、directory-traversal、path-traversal

背景使用dotnet run在本地运行时，我可以执行路径遍历攻击，据我所知，该攻击使用的是Kestrel服务器。我的攻击负载是..\..\来规范URI，这意味着它永远不会访问我的API。换句话说，它试图到达以下端点： GET

浏览 18提问于2021-01-11得票数 2

回答已采纳

1回答

如何通过(内网) API安全创建账号？

security、api

不久前，智能手机应用程序打开浏览器访问带有验证码的注册页面，或者需要通过web单独注册，这是很常见的，因为API注册被认为是易受攻击的。现在，大多数应用程序似乎都通过本机形式提供注册，尽管其公共API中通常没有记录这方面的端点。我还没有看到很多关于这个被滥用来创建垃圾邮件帐户的报告。这是怎么做的？是否有标准的加密/握手过程来验证真正的注册，或者注册通常依赖于未记录<em

浏览 0提问于2012-11-01得票数 1

回答已采纳

1回答

得到所有不和谐成员的名单

api、discord

有没有办法从API中获得所有成员的列表？服务器上没有你的机器人。

浏览 7提问于2022-08-25得票数 1

2回答

我的推荐人日志中未注册的域名heiiehdsx.com

referrer、http-referer、referer、referrals、referrer-spam

最近，未注册(可用)的域名heiiehdsx.com出现在我的HTTP引用日志中。它来自不同的IP地址(没有一个非常相似)。当我用谷歌搜索域名时，唯一的结果是它也出现在其他服务器日志中的报告。

浏览 2提问于2011-01-03得票数 0

2回答

经典ASP黑客-注入

security、asp-classic

在Classic ASP中，我对应用程序中的所有SQL查询都使用了参数化查询。我需要保护一个不访问数据库的简单电子邮件表单吗？

浏览 1提问于2011-11-19得票数 0

回答已采纳

2回答

特定节点正受到垃圾评论的攻击。我该怎么做才能阻止它？

comments、advertising

我的网站正受到垃圾邮件机器人的严重攻击，这只发生在一个特定的节点上。所有其他节点都是安全的，否则垃圾邮件将被Mollom阻止。如何防止更多的垃圾邮件评论被张贴在那里？你知不知道？

浏览 0提问于2011-05-03得票数 0

4回答

如果垃圾邮件机器人隐藏了表单，我能阻止它提交吗？

css、forms、spam

如果我在我的网站联系人页面上显示:没有一个在表单包装上显示，垃圾邮件机器人还能提交吗？如果没有，那么一个可能的解决方案是仅仅放置一个链接--向我们发送一封电子邮件--当点击它时显示:用表单显示包装器，从而防止垃圾邮件？谢谢，-O

浏览 3提问于2013-11-27得票数 2

回答已采纳

2回答

谷歌2能阻止CSRF攻击吗？

security、csrf、csrf-protection、recaptcha

跨站点请求伪造攻击利用受害者的会话向受信任的站点提交恶意请求。将CAPTCHA描述为一种防止CSRF攻击的好方法。

浏览 2提问于2015-09-16得票数 7

回答已采纳

1回答

我怎样才能防止机器人在我的AWS Lambda函数中产生成本？

amazon-web-services、firebase、security、aws-lambda、bots

我正计划为我的移动游戏设计一个概念，并使用AWS Lambda (或Firebase函数，在其相同的情况下)。一个机器人不能永远对我的Lambda功能做一个请求，只通过垃圾邮件发送我的端点就能产生巨大的成本吗？亚马逊/谷歌是否有任何保护措施，或者你们如何在这类攻击中确保你们的终端安全？

浏览 3提问于2021-08-06得票数 0

回答已采纳

2回答

网站攻击:攻击者的目标是什么？

web、attack-vector、password-reset

机器人网络我的网站已经有一段时间了。用于这些配置文件的电子邮件地址似乎是来自真实用户的有效电子邮件地址，但我不能说它们是否只是攻击者使用的，或者它们是否对这些地址有实际的控制。不过，我所知道的是:这些电子邮件从来没有通过发送到那些新注册账户的链接来确认。然后攻击者进入密码检索页面并发送“新密码”请求，这很奇怪，因为我认为他们没有收到答案，因为对创建的…配置文件中使

浏览 0提问于2020-06-21得票数 2

1回答

当允许C#应用程序发送/接收电子邮件时，我们应该采取哪些安全防范措施？

encryption、email、.net、validation

我正在写一个网络应用程序，它将能够发送签名和加密的电子邮件给其他人在我的信任范围之外。它还将检索来自不同账户的S/MIME加密(可能也有签名)电子邮件。是否需要执行任何类型的输入验证(对于收到的电子邮件)。附件将存储在数据库中，并通过web访问。那么输出消毒呢？由于电子邮件将被加密和签名，是否有强烈的需要对内容做任何以前？

浏览 0提问于2018-09-14得票数 2

1回答

Discord.Py:在CommandOnCooldown错误事件上添加冷却时间

python、discord、discord.py-rewrite

因此，我在我的机器人中添加了@commands.cooldown(1, 10, commands.BucketType.user)，试图阻止人们向它发送垃圾邮件。f'This command is not ready to use, try again in %.2f seconds' % error.retry_after) return 但我的问题是，我如何才能让它只发送一次？因为人们可以<em

浏览 9提问于2020-10-18得票数 2

回答已采纳

1回答

机器人如何检测垃圾邮件行或多行无用文本？

python、discord、discord.py

我正在努力改进我的Discord.py机器人的温和方面。我希望用户不要发送多行垃圾邮件或任何被认为是“行垃圾邮件”的内容。如果有人发送了很多行来试图造成干扰，并且只对服务器进行raid，那么机器人将如何检测消息是否包含太多行？在不一致的情况下，一个简单的垃圾邮件示例可能是在空行的外部发送多个带有.的<

浏览 2提问于2020-11-21得票数 0

回答已采纳

1回答

关于机器人在团队中的安全性问题

node.js、security、botframework、microsoft-teams、exploit

我们的团队已经创建了一个使用微软机器人框架(Nodejs)的聊天机器人，该聊天机器人由组织的租户管理员通过其清单在团队中部署。我有几个关于安全的问题--(问题只与团队机器人有关) 1)恶意用户模拟团队通道端点有多容易？(机器人在OnMessage活动处理程序中使用3层验证。(Graph Api和其他一些特定于组织的)，但问题是我们使用teamsinfo.getmembers(上下文

浏览 14提问于2020-07-30得票数 1

3回答

垃圾邮件发送者过度饱和服务有什么好处吗？

spam

如果我正确的理解，垃圾邮件是最有效的，当它看起来像真实的内容，并诱使用户做垃圾邮件要求它(例如，点击一个链接)。当然，保持低调将是必要的，以隐藏它的窥探眼睛的主持人。然而，我在实践中注意到的是相反的情况。垃圾邮件发送者将使用尽可能多的资源，无情地攻击网站，以至于服务不再可用。没有真正的用户可以被欺骗，垃圾邮件是

浏览 0提问于2016-01-01得票数 3

点击加载更多