Tuve un escenario, donde alguien creó miles de cuentas de usuario en un sistema de tienda, que inundó la base de datos. Se usaron diferentes nombres de usuarios / correos electrónicos y cada creación provino de una dirección IP diferente.
¿Cómo puede alguien prevenir / evitar un "ataque"?
¿Hay algo más aparte de CAPTCHAS que un programador pueda hacer?
Hay una serie de cosas que un "desarrollador" podría hacer para evitar la creación masiva de cuentas de esta manera, pero dependerá del apetito / presupuesto para un cliente.
Por ejemplo, es probable que una serie de WAF comerciales detecten los patrones al final y comiencen a bloquearlos, incluso cuando provienen de diferentes IP. Es posible que el WAF, si usa aprendizaje / definiciones basadas en la nube, ya haya visto problemas de esas IP para otros sitios para los que se está utilizando.
Si solo está buscando una solución puramente 'programada', muchos han intentado desarrollar sus propias versiones de CAPTCHA (a veces ve cosas tan simples como responder la pregunta de 5 + 3 = X en un campo de formulario) , pero la realidad es que va a llevar mucho tiempo / esfuerzo / gasto desarrollar algo lo suficientemente sólido.
¿Por qué el cliente en este caso no quiere usar CAPTCHA?
Lea otras preguntas en las etiquetas denial-of-service e-commerce