อันนี้เป็นความรู้ (มั่วๆ) ส่วนตัวที่ผมทำวิจัยเรื่องนี้มานะคับ เพราะผมเองก็เป็นทั้งคนยิง และคนโดนยิงเหมือนกัน
1. ซอฟต์แวร์กว่า 70% ที่ใช้ยิงจะไม่ทิ้ง Client IP Address ส่วนมากเป็นซอฟต์แวร์แจกฟรี หรือตัวที่ใ้ช้ขายแต่เป็น Demo วิธีป้องกัน คือให้เรียกตรวจสอบ IP Address ก่อนที่จะทำการบันทึกข้อมูลลงสู่ Database
2. ยังมีซอฟต์แวร์บางตัวที่ผู้ำพัฒนา ยอมทิ้ง IP เพื่อให้หลุดเงื่อนไขข้อที่ 1 พัฒนาออกมาเป็นซอฟต์แวร์เสียตัง โดยเป็นคนวงในของผู้ผลิต CMS ตระกูลต่างๆ อาทิเช่น Blog, Bookmark, Submit, Webboard อื่นๆ ทั้งนี้รวมถึงซอฟต์แวร์ที่รันบน Platform อื่น และรันบนบราวเซอร์เช่นเดียวกัน วิธีป้องกัน คือต้องอาศัยความรู้นิดๆ ในการโมฟังชั่นการทำงานโดยเฉพาะการบันทึกข้อมูล ให้เลือกตัดฟังก์ชั่นที่ไม่จำเป็นออก ในขณะที่ Script ยังทำงานได้ตามปกติ
3. ปัจจุบัน CAPCHA ยังเป็นอีกทางเลือกที่ดีอยู่ แต่ก็ยังมีทางเลือกที่ดีกว่า ที่ป้องกันได้โดยไม่อาศัย CAPCHA คืออาศัยช่องโหว่ตรวจสอบทรัพยากรที่ส่งมาจากต้นทาง ซึ่งข้อมูลที่ GET หรือ POST ด้วยการยิงตรงหรือผ่านเทคโนโลยี AJAX, Library อื่นๆ หรือแม้กระทั่ง API ที่เป็นการส่งข้อมูลมาจากซอฟต์แวร์ ย่อมมีทรัพยากรต้นทางที่แตกต่างจาก การส่งข้อมูลมาจากบราวเซอร์ ยกเว้นซอฟต์แวร์นั้นจะใช้รันบนบราวเซอร์ วิธีป้องกันก็แค่ร้องขอทรัพยากรต่างๆ ของ Client เท่าที่จำเป็นก่อนการบันทึกข้อมูล คล้ายๆ กับข้อ 1
4. มีอีกหลายข้อ แต่คงไม่จำเป็นมาก ลำพัง 3 ข้อนี้ก็ปลอดภัยได้ระดับหนึ่งสำหรับมือใหม่ละ
ฝรั่งส่วนมากไม่ได้ฉลาดเกินไปกว่าคนไทย เท่าที่ผ่านมาผมเห็นคนไทยเก่งกว่า แต่คนไทยไม่ชอบสร้างเท่านั้นเอง
< กดยุบ (ห้องยกเลิกการใช้งาน)
