Запросы блокировки с использованием HTTP_ORIGIN для предотвращения спама

Question

За последние пару дней я получал миллионы запросов от чередующихся IP-адресов.Они пытаются выполнить почтовые запросы и, похоже, используют неверный HTTP_ORIGIN.Под неправильным я имею в виду, что это не то, что отправляет мой сервер:

• Мой сервер отправляет: "https://www.example.com"
• Запрос на спам отправляет: www.example.com

Я разместил некоторые записи для каждого сценария:

1. Пользователь вошел в систему и имеет неверный HTTP_ORIGIN
2. Пользователь НЕ вошел в систему и имеет неверный HTTP_ORIGIN

Я заметил, что есть пользователи, которые вошли в систему, но имеютневерный HTTP_ORIGIN (происхождение отсутствует "https://". Я проверил эти учетные записи пользователей, и, хотя они кажутся реальными и не созданы первоначальными запросами на спам, они в настоящее время могут выполняться через сценарии.

Похоже,это предотвратило бы доступ этих пользователей к POST-запросам сайта, но, с другой стороны, если бы они были настоящими пользователями, это вызвало бы проблему.

Теперь, если бы я применил фильтрацию для блокировки запросовэто не соответствует происхождению, мои вопросы:

1. Каким будет побочный эффект этого?
2. Есть ли недостатки или негативные аспекты?
3. Могу ли я увидеть падение трафика?

Answer 1

Если это так, то, как вы сказали, некоторые используют ваш веб-сайт из сценариев, учитывая, что ваш веб-сайт работает нормально (я имею в виду, что он не такой, как веб-сайт для загрузки данных или что-то в этом роде), тогда было бы хорошо рассмотреть возможность добавления капчина ваш сайт вместо фильтрации запросов (потому что я думаю, что для тех, кто отправляет неправильный HTTP_ORIGIN, было бы просто сделать аналогичный оригиналу, если они используют sslstream, особенно если это для злонамеренных целей).

И что касается последствий, если вы используете фильтрацию для http-запроса, я думаю, что запросы будут отбрасываться значительно (поскольку вы откажетесь от неправильных), и некоторые реальные пользователи, которые используют скрипты, переключатся на браузер (эторедкий случай, особенно если они автоматически удаляют данные с веб-сайта) или они перестают использовать ваш веб-сайт.

Вам нужно подождать дальнейших исследований и убедиться, что эти ложные запросы не являются вредоносными (возможно, онииспользуя простой клиент TCP).В любом случае на данный момент лучше всего проверить данные, отправленные в запросах POST (неправильные), и посмотреть, есть ли какие-либо подозрительные данные (в этом случае вам следует использовать какой-либо метод безопасности на своем веб-сайте)