| 短信驗證碼接口被惡意攻擊怎么辦? |
短信接口驗證碼通常用于電商、手機APP、網上銀行、社交論壇等互聯網行業,通過短信驗證碼進行身份二次驗證,確保用戶身份真實有效。但是,最近有很多用戶莫名收到各類注冊短信、驗證短信等,技術人員排查,發現是短信驗證碼接口被惡意攻擊了,導致驗證碼接口被刷。那么該如何避免被刷呢?
一、短信驗證碼接口是怎么被惡意攻擊的(短信接口被刷)
短信驗證碼接口被惡意攻擊一般主要用于短信轟炸。
而短信轟炸的具體工作原理如下:
1、惡意攻擊者在前端頁面中輸入被攻擊者的手機號;
2、短信轟炸工具的后臺服務器,將該手機號與互聯網收集的可不需要經過認證即可發送動態短信的URL進行組合,形成可發送動態短信的URL請求; 3、通過后臺請求頁面,偽造用戶的請求發給不同的業務服務器; 4、業務服務器收到該請求后,發送動態短信到被攻擊用戶的手機上。 
圖為 短信轟炸流程示例
通常短信轟炸是基于WEB方式(基于客戶端方式的原理與之類似),由兩個模塊組成,包括:一個前端Web網頁,提供輸入被攻擊者手機號碼的表單;一個后臺攻擊頁面(如PHP),利用從各個網站上找到的動態短信URL和前端輸入的被攻擊者手機號碼,發送HTTP請求,每次請求給用戶發送一個動態短信。
被攻擊者大量接收非自身請求的短信,造成無法正常使用移動運營商業務。
短信接口被刷通常指的就網站的動態短信發送接口被此類短信轟炸工具收集,作為其中一個發送途徑。
二、易遭惡意攻擊的場景或網站
1、網絡在線投票站(需要填寫手機號碼進行校驗)
2、用戶在線注冊頁面(包含手機短信驗證功能)
3、手機短信動態密碼登錄
三、惡意點擊手機短信驗證碼的途徑
用戶惡意點擊手機短信驗證碼主要有兩種途徑,一種是人工頻繁點擊;一種是通過軟件連續點擊,就危害性來說,軟件連續點擊的危害要大的多。
四、防止短信驗證碼接口被惡意攻擊的手段
用戶惡意點擊手機短信驗證碼,不僅會增加公司的運營成本,也會給公司的形象造成極壞的影響(一般短信都會帶公司的簽名),所以必須要對這種行為進行防范,目前,防范的手段主要有以下幾個方面:
1、【短信發送間隔設置】
設置同一號碼重復發送的時間間隔,一般設置為60-120秒。該功能可進一步保障用戶體驗,并避免包含手工攻擊惡 意發送垃圾驗證短信。
2、【IP限定】
根據自己的業務特點,設置每個IP每天的最大發送量
3、【手機號碼限定】
根據業務特點,設置每個手機號碼每天的最大發送量
4、【流程限定】
將手機短信驗證和用戶名密碼設置分成兩個步驟,用戶在設置成功用戶名密碼后,下一步才進行手機短信驗證。并且需要在獲取第一步成功的回執之后才可進行校驗。
5、【綁定圖型校驗碼】
將圖形校驗碼和手機驗證碼進行綁定,當用戶輸入手機號碼以后,需要輸入圖形校驗碼才可以觸發短信,這樣能比較有效的防止軟件惡意點擊。現在大型網站都采用此方式。如注冊網易郵箱:
6、【發送量限定】——設置每個手機號碼每天的最大發送量。
 圖為 完整的動態短信驗證碼使用流程 |
| 【返回首頁】 |
| 上一篇:維護老客戶的新方法—短信平臺 下一篇:短信平臺之融資融券推廣方案 |
|
更多詳情請搜索: |
皖公網安備 34019202000075號