2021-03-12
Laravel
Laravelを狙ったbot
3年前の記事です。
Laravelは古い情報は全く役に立たないので絶対に参考にしないでください。
コメントに新しい情報がないか確認してください。
自動でユーザー登録していくbotが増えてる気がする。
Laravelを狙ってるかは不明だけどこういうのはWordPressと同じく/register固定でアクセスして来る。
不正な登録を防ぐには
- Socialiteでソーシャルログインに限定する。
- メール確認
verifiedを必須にする。登録はされるけど一定間確認されなければ自動で削除とかできる。 - ドメインごとバリデーションで弾く。
- 登録URLをメールで送る方式にする。
など…。
/.env
ログには/.envへのアクセスも増えてる。
変な本や初心者が書いた記事ではhttp://localhost/publicで表示してることを疑問にも思ってないけど、本番でもこのまま/publicで動かすと/.envが盗み見られてるかもしれない。
実際にログがあるということは盗めてるんだろう。