私はBrainstreeを使用してクレジットカードの支払いを処理するウェブサイト(PHP Laravelサイト)を持っています。今日このサイトは、クレジットカード情報を渡す1つのURLへのLOT直接リクエストを受け取ります。ハッカーがパラメータを把握し、盗まれたクレジットカード番号を検証しようとしているサイトを使用しているようです。クレジットカード番号を確認するためのURLリクエストを停止する方法
リクエストの例を次に示します。
私のサイトが遅く、CPUの使用率が100%であることを引き起こしています。
私たちのコードが要求を処理してエラーページを表示する前です。これで、リクエストを検証し、無効な更新要求をログインページにリダイレクトします。 CPU負荷はまだ100%です。
これをやめたり、CPUの負荷を止めたりするには、どうすればよいですか?
CSRFフィールドの使用を有効にする必要があります。あなたはあなたがPOSTのようにリクエストを処理し始めたと言っているので、それは問題ありません。
このルートは、認証されたユーザーにのみ使用可能である必要があります。あなたがまだ持っていないなら、適切なミドルウェアを追加してください。
さらなる保護として、いくつかのスロットルミドルウェアを使用することをお勧めします。このパッケージまたは類似のものの使用を検討してください。指定した分の回数よりも頻繁にメソッドを使用することはできません。 https://github.com/GrahamCampbell/Laravel-Throttle
ここはアップデートです。ハッカーは実際にサイトを分析します。それは無料のユーザーを作成します。無料の各ユーザーは、クレジットカードを使用して有料メンバーシップの注文を送信します。金額が少ないので、私たちは目標です。 POSTを使用してもこのハックは修正されません。アカウントの作成と注文のページで、アカウントのアクティベーションメールとrecaptchaを追加しました。幸いにも、それはかなり早く停止します。私は経験を共有するためにここに情報を入れています。すべての助けをありがとう!
ヒットはすべて同じIPから来ていますか?もしそうなら、あなたはかなり簡単にインバウンドをブロックすることができます。 –
POST変数とCSRFを使用します。クレジットカードの資格情報をGETとして渡すと、問題が発生することがあります。 – aynber
また、HTTPSでページがホストされていて、他にHTTPをホストしていないことを願っています。 –