事情背景
目前呢,有些xxs试图利用脚本,恶意盗取他人账号密码,采用的是弱密码试探的方法。
之所以他的方法能够得逞,是因为洛谷登录api限制少,加上不断更换UA和代理,几乎可以达到弱密码爆破零限制
洛谷所有的api似乎也都是这样的
建议
建议给所有人都加上一个“api调用冷却值” 例如:
1. 账号类
- 登录api 30秒内每调用10次冷却5秒
- 注册api 30秒内每调用5次冷却15秒(避免自动抢注机,把注册api限制调高)
2. 题目类
- 交题api 30秒内每调用10次冷却5秒
- 看题api 30秒内每调用15次冷却5秒
3. 社区类
- 犇犇api 60秒内每调用30次冷却10秒
- 讨论api 60秒内每调用30次冷却10秒
…
预防大于治疗,这种方法应该可以避免试探弱密码盗取账号的行为,以及“自动发犇器”的出现。