一個應該不算漏洞的漏洞 - 忘記密碼功能

忘記密碼、註冊，都應該可以加上captcha

發送了一堆郵件攻擊Gmail <-- 那是因你管理員留的 Gmail 嗎?

如果管理員，留的是公司的 Mail 那是否就變成，發送了一堆郵件攻擊公司的 Mail Server ... ?

所以他用這個方式攻擊 Google 了，那然後呢？

這種狀況我想到的解法是使用雙因素認證，用簡訊傳認證碼。
至於 captcha 只是確認執行這個動作的是人不是自動程式，這部分還是沒辦法避免不傳信給 Google。

我的網站以前也遇到類似的狀況，許多用戶註冊了，卻從來沒有登錄過，我一段時間，會刪除這些假用戶，不過後來假註冊的用戶越來越多，我的資料庫有被擠爆的危險，我才開始尋找解決方式。

我裝了honeypot這個模組，才發現很多註冊的用戶，竟然是機器人搞得，難怪我後來覺得有大軍壓鎮的感覺。honeypot 幫我擋掉了很多機器人註冊， 而我自己又設定了rules + rules schedule， 以便自動刪除honeypot 的漏網之魚，也就是人爲的惡意註冊 (極少數)。

上述這兩個方法雙管齊下，測試了6個月，效果良好。

用這個看看 Hashcash - https://drupal.org/project/hashcash

Description

The Hashcash project is an implementation of a Proof Of Work (POW) or Puzzle scheme where users of a service have to do computational work to have their request granted. In the case of the Drupal Hashcash project, the service is 'form submission' and the Proof Of Work is a token that causes a partial hash collision when concatenated with a given string. This is intended to stop spam submissions to a site.