戻る
2021-03-12
Laravel

Laravelを狙ったbot

自動でユーザー登録していくbotが増えてる気がする。
Laravelを狙ってるかは不明だけどこういうのはWordPressと同じく/register固定でアクセスして来る。

不正な登録を防ぐには

  • Socialiteでソーシャルログインに限定する。
  • メール確認verifiedを必須にする。登録はされるけど一定間確認されなければ自動で削除とかできる。
  • ドメインごとバリデーションで弾く。
  • 登録URLをメールで送る方式にする。

など…。

/.env

ログには/.envへのアクセスも増えてる。
変な本や初心者が書いた記事ではhttp://localhost/publicで表示してることを疑問にも思ってないけど、本番でもこのまま/publicで動かすと/.envが盗み見られてるかもしれない。
実際にログがあるということは盗めてるんだろう。

投稿者 Invokable
コメントを書くにはログインしてください。
登録 ログイン