2021-03-12
Laravel
Laravelを狙ったbot
3年前の記事です。
Laravelは古い情報は全く役に立たないので絶対に参考にしないでください。
コメントに新しい情報がないか確認してください。
自動でユーザー登録していくbotが増えてる気がする。
Laravelを狙ってるかは不明だけどこういうのはWordPressと同じく/register
固定でアクセスして来る。
不正な登録を防ぐには
- Socialiteでソーシャルログインに限定する。
- メール確認
verified
を必須にする。登録はされるけど一定間確認されなければ自動で削除とかできる。 - ドメインごとバリデーションで弾く。
- 登録URLをメールで送る方式にする。
など…。
/.env
ログには/.env
へのアクセスも増えてる。
変な本や初心者が書いた記事ではhttp://localhost/public
で表示してることを疑問にも思ってないけど、本番でもこのまま/public
で動かすと/.env
が盗み見られてるかもしれない。
実際にログがあるということは盗めてるんだろう。