在我的 论坛 上,用户注册时有一个自定义字段。
但看起来垃圾邮件机器人创建账户时,为该下拉框选择了一个无法选中的值。这几乎让它起到了蜜罐的作用,用来判断哪些账户不是真人创建的。但这是否也可能是一个安全问题?
这是因为机器人不使用带有验证器的前端注册流程。这些垃圾邮件机器人使用的是向注册 API 端点发送的自动化 POST 请求。此外,我认为当某些字段为可选时,后端的验证可能不够严格,仍然会将这些载荷值保存到数据库中。
我不确定核心修复方案是什么,但你可能还需要配置一些额外的反垃圾工具或设置。(我在我的公开论坛上使用了 AI 垃圾邮件机器人防护工具,效果非常好,而且我的注册表单中也包含可选字段。)
你可以通过数据探索器(Data Explorer)查找论坛上的所有用户。我认为以下查询应该有效,但我尚未测试(假设自定义字段名为 user_field_1):
SELECT user_id, value
FROM user_custom_fields
WHERE name = 'user_field_1'
AND value NOT IN ('Bro', 'Sis', '')
如果你最近将某个字段从文本输入改为下拉选择,这也可能导致部分机器人账号出现字段值错误的情况。
1 个赞