反机器人战斗:持续不断的攻防
对抗机器人的战斗是一场永无止境的攻防战。在本周的视频中,我讨论了如何调整Cloudflare Turnstile系统,并结合更多请求特征属性来识别机器人行为——这个方法几乎成功了。就在我准备撰写本篇介绍时,发现了一个异常的流量小高峰,经过深入调查后发现这些请求本应被拦截。于是我们再次调整策略,添加了更多逻辑规则,力求为真实用户提供最佳体验,同时让机器人的操作变得困难。
幸运的是,我们采用的资源策略使得即使有少量机器人请求通过,也不会产生重大影响。但这确实带来了一场充满挑战(甚至有些令人沮丧)的体验优化过程。
重要动态更新
赞助商提醒:Report URI——保护您免受恶意JavaScript攻击!实时警报+漏洞预防,确保网站安全 #SecureYourSite
- HIBP合作伙伴计划:已确定首批加入"Have I Been Pwned"的合作伙伴(这些公司能够在数据泄露事件后为受害者提供帮助)
- ColoCrossing数据泄露:云服务ColoCloud发生安全事件,导致7000名客户邮箱地址暴露
- 电商平台迁移:HIBP周边商店虽然受欢迎,但Teespring的客服质量令人失望(近期将更换服务提供商)
- Turnstile持续优化:继续调整Cloudflare Turnstile以阻挡恶意流量同时保障正常访问(当前HIBP主页的配置已相当完善,欢迎测试异步请求与完整页面回传的体验差异)
技术专家简介
Troy Hunt:博主、Pluralsight课程创作者、微软区域总监暨MVP,全球范围内进行技术演讲和专业培训,同时运营"Have I Been Pwned"数据泄露查询服务。
推荐安全课程
通过Pluralsight免费试用可访问包括以下重点课程在内的数千门教学内容:
- OWASP ASP.NET十大Web应用安全风险
- HTTPS开发者必知指南
- 自我渗透测试:主动网络安全策略
- 信息安全宏观视角
- 道德黑客:社会工程学
- Azure PaaS网站现代化改造
- 浏览器安全头入门
- 道德黑客:SQL注入攻防
- OWASP Top 10Web安全全景解读
- 道德黑客:Web应用渗透测试