上午临近午饭时,公司同事反馈验证码被攻击灌水。我们匆忙查询验证码明细,对已频繁出现的IP插入黑名单,但IP仍然隔断时间频繁变动,不得已之下只能先封禁对应公司id的验证码发送功能。年初时候,专门对SSO站点的发送验证码升级到极验的验证,已经杜绝了普通的攻击,没想到没升级的这个系统又遭受洗礼…

防灌水通用解决办法一般有几种:

  • Ip+手机号限制

频繁变化ip和手机号时,此办法无效

  • 发送验证码页面端提供简单图形验证码

能解决部分攻击。

  • 采取12306图片库或极验等复杂手段

能解决大部分攻击,但超过一定频率需要收费

由于调用发送验证码的方法非常多,在这个方法内只能定位到IP和手机号,定位不到Web层具体的Action,在此过程中了解到https://www.cnblogs.com/huangtailang/p/4550177.html所提到的System.Diagnostics.StackTrace和System.Diagnostics.StackFrame定位到方法上层调用堆栈。然后就顺腾摸瓜把漏掉图形验证码的常用页面先补上,不常用的页面改掉发送接口。处理细节不再细述,只记录下Diagnostics的相关信息。

  1.  /// <summary>
  2.         /// 获取堆栈
  3.         /// </summary>
  4.         /// <returns></returns>
  5.         public static string GetStackTraceModelName()
  6.         {
  7.             //当前堆栈信息
  8.             System.Diagnostics.StackTrace st = new System.Diagnostics.StackTrace();
  9.             System.Diagnostics.StackFrame[] sfs = st.GetFrames();
  10.             //过虑的方法名称,以下方法将不会出现在返回的方法调用列表中
  11.             string _fullName = string.Empty, _methodName = string.Empty;
  12.             for (int i = 1; i < sfs.Length; ++i)
  13.             {
  14.                 //非用户代码,系统方法及后面的都是系统调用,不获取用户代码调用结束
  15.                 if (System.Diagnostics.StackFrame.OFFSET_UNKNOWN == sfs[i].GetILOffset()) break;
  16.                 var methedInfo = sfs[i].GetMethod();
  17.                 _methodName = methedInfo.ReflectedType.FullName + "." + methedInfo.Name;//方法名称
  18.                                                                                         //sfs[i].GetFileLineNumber();//没有PDB文件的情况下将始终返回0
  19.                                                                                         // if (_filterdName.Contains(_methodName)) continue;
  20.                 _fullName = _methodName + "()\r\n->" + _fullName;
  21.             }
  22.             st = null;
  23.             sfs = null;
  24.             return _fullName.TrimEnd('-', '>');
  25.         }

下面我们定义一些代码来演示效果:

  2.  public class First
  3.     {
  4.         public string Start()
  5.         {
  6.            return new Second().Start();
  7.         }
  8.     }
  10.  public class Second
  11.     {
  12.         public string Start()
  13.         {
  14.           return  new Third().Start();
  15.         }
  16.     }
  18.  public class Third
  19.     {
  20.         public string Start()
  21.         {
  22.             var msg = Utils.GetStackTraceModelName();
  23.             return msg;
  24.         }
  25.     }

然后在Web层调用First.Start

  1.  public class HomeController : Controller
  2.     {
  3.         public IActionResult Start()
  4.         {
  5.             var msg = new First().Start();
  6.             return Content(msg);
  7.         }
  8.     }

访问结果如下:

  1. Web.Controllers.HomeController.Start()
  2. ->Venus.Common.First.Start()
  3. ->Venus.Common.Second.Start()
  4. ->Venus.Common.Third.Start()

这个调用信息是由Third.Start记录,可见能追踪到完整的调用链。这只是简单的演示,如更复杂的交叉调用,异步、并行等的并未在这里实践。

以上方法适用于.netFramework和.netCore,可用于做日志记录,调用链等行为。
asp.netcore里也有Microsoft.AspNetCore.Diagnostics,https://www.cnblogs.com/linezero/p/Diagnostics.html

略作总结,本篇结束,那帮闲的蛋疼乱搞攻击的人,折腾了我一天。虽然已经禁了他们发送验证码,但还是一直在发请求,头疼ying….留个念头以待以后深思。

安全和防护依然是重中之重啊!

https://www.cnblogs.com/huangtailang/p/4550177.html

版权声明:本文为fancunwei原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/fancunwei/p/10146151.html